SheetAgentのRAT、仮想マシン検知チェックを14種類実行し、解析を察知すると自己削除

インド政府の求職者を狙う脅威キャンペーンが、内閣官房のSenior Field Officer職の採用告知を餌にして、カスタムのリモートアクセス型トロイの木馬「SheetAgent RAT」を展開しています。

このキャンペーンは、書類確認パッケージを装ったZIPアーカイブ「Approved Documents 2026.pdf.zip」から始まります。

その中身には、悪意のあるLNKショートカット「Document-24062026-Y6352634.lnk」、隠しPowerShellスクリプト「JT-agenda.ps1」、そして隠し.NET実行ファイル「Document.exe」が含まれています。

このショートカットはMicrosoft Edgeのアイコンを使って無害を装い、PowerShellを非表示・非対話モードで起動します。

スクリプトはdemo.controlr.appから正規のControlRリモート監視管理エージェントをダウンロード・インストールし、被害者の端末を攻撃者が管理するControlRテナントに登録します。

このインストーラーはBitboundによって署名されており、正規のRMM(リモート監視管理)プラットフォームが持続的でハンズオンなリモートアクセスの確立に転用され得ることを示しています。

ControlRのインストール後、PowerShellスクリプトは32ビットまたは64ビットの.NETドロッパーであるDocument.exeを実行します。このバイナリは%APPDATA%\Microsoft\WinSyncDefender\に偽装ディレクトリを作成し、埋め込まれた2つのファイル、すなわちおとり文書のショートカットと最終的なSheetAgentのペイロードであるagent.exeを展開します。

ローダーはこのRATをWindowsDefenderSyncService.exeにリネームし、ホスト環境に紛れ込ませます。

永続化のため、マルウェアはまず「WindowsDefenderSyncService」という名前のスケジュールタスクの作成を試みます。このタスクはユーザーログオン時、およびその後3分ごとにRATを起動します。

Antivirus& Malware

タスク作成に失敗した場合は、「Windows Netlogon System Synchronization Service」と説明された、スタートアップフォルダ内のショートカット「WindowsDefenderSync.lnk」にフォールバックします。

付随するおとりショートカットは、Employment Newsの採用告知(日付は2026年6月131313日〜191919日)を装ったPDFをダウンロードして開きます。

Seqrite APT Research Teamの研究者らはこの活動を関連付け、悪意のあるショートカット、PowerShell、正規のリモート管理ソフトウェア、Google Workspace API、そして解析対策の各要素を組み合わせた多段階の侵入チェーンだとしています。

Image

この文書は、応募資格、GATEスコア要件、募集人数、応募方法を含め、内閣官房のSenior Field Officer Technical職の募集内容を宣伝しています。この文書は38[.]242[.]157[.]89に解決するインフラ上でホストされています。

SheetAgentは、攻撃者が管理するGoogleシートとGoogleドライブのリソースを通じて、バックアップ用のコマンド&コントロール(C2)チャネルを確立します。

SheetAgentのRAT、仮想マシン検知チェックを14種類実行

このRATには、完全なRSA秘密鍵を含むGoogleサービスアカウントの認証情報がハードコードされており、それを使ってシートおよびドライブAPIに認証できます。

Image

これは、感染ホスト名、タイムスタンプ、パブリックIPアドレス、稼働状況、コマンド、コマンド出力を、あらかじめ定義されたスプレッドシートの各列に記録します。

このRATは、被害者のホスト名がシートのA列に既に存在するかを確認します。該当するシステムが見つからない場合は、次の空いている行にホストを登録します。

その後、C列から操作者のコマンドを繰り返し取得してローカルで実行し、その結果をD列に送信します。この手法により、攻撃者は信頼されたGoogleのインフラの中に悪意のある通信を隠すことができます。

C2に接続する前に、SheetAgentは141414種類の解析対策チェックを含むIsRunningInVirtualMachine()というルーチンを呼び出します。

Image

このマルウェアは、WMIのメーカー情報やBIOS情報、ディスクおよびGPUの情報、VM関連プロセス、レジストリの痕跡、MACアドレスのプレフィックス、ドライバー、サービス、そしてVMwareやVirtualBoxに関連するインストールパスを調べます。

Antivirus& Malware

また、Any.RunやTriageの痕跡を含むサンドボックスの兆候、アナリストらしきユーザー名、VM特有のデバイスも探索します。

いずれかのチェックで仮想化環境または監視環境であると判定された場合、SheetAgentはクリーンアップルーチンを起動します。%TEMP%内にcleanup.batを書き込み、実行を遅延させたうえで、実行ファイルとservice.json設定ファイルを強制的に削除し、さらにこのバッチファイル自体も削除して終了します。

この自己削除機能により、マルウェアのトリアージが難しくなり、研究用システム上でのフォレンジック証拠が減少する恐れがあります。

Seqriteはまた、同じサーバーのポート900090009000、700070007000、800080008000上に、SecureMonitor、PrivateRat、そしてもう一つのパスワード保護された管理パネルを確認しました。

PrivateRatのインターフェースには、「HeartMelt」という開発者名が記載されていました。研究者らは、インドに焦点を当てたターゲティング、Googleシートを用いたC2の利用、.NETツール、そして永続化の手口を根拠に、このキャンペーンがAPT36に関連しているとの見方を中程度の確度で示しています。

侵害指標(IOC)

Approved Documents 2026.pdf.zip 2b33b5185e93e1655eb27dbaa025d7ee088627db3d640fe4709be705646b189c
Document.exe ee9dd2a180aea75af5c0eda16b83681c0a5fed451bfad6d5b3af85c3b62fa210
Document-24062026-Y6352634.lnk 434243e615b93a1b948c26ad55902bd78f9fa18e42375c15790634375c1ad3f4
JT-agenda.ps1 70fe7576f20f5dd6a3d872753c922f1394d91487f5eabb417b240b83c22e31b2
ControlR.Agent.Installer.exe cf3f1bceb83fa3acefbabae4bdc275347cfe03dd7fc770052a33baef204a89f7
MicrosoftSyncService.exe b928e523b51187b932e48a65d36ce3d0c39ee9d409d493b90f98cf3d1e0e73b0
Document.lnk c4859db541b2bd0d266bbc44fafb5a767c862a57a3633a949dfaeebdf88ed529
file.pdf fd2ac3a761f66dc6954014532795f9108f65739f23e4b294d4563673b799688

注: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的に無効化表記(例: [.])にしています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンス基盤内でのみ行ってください。

2019年のSOC向けに書かれたSLAをそのまま使うのはもうやめませんか——2026年版AI SLA ベンダーチェックリストはこちら — 無料の AI SOC SLA ガイドをダウンロード

翻訳元: https://gbhackers.com/sheetagent-rat-runs-14-virtual-machine/

ソース: gbhackers.com