UAT-11795、トロイの木馬化されたソフトウェアインストーラーを通じてStarland RATとWLDRバックドアを展開

Cisco Talosは、UAT-11795として追跡されている新たな金銭目的の脅威クラスターを発見しました。このクラスターは2025年6月以降、米国および欧州の一部地域のユーザーを標的に大規模なマルウェアキャンペーンを展開しています。

このキャンペーンは、トロイの木馬化されたソフトウェアインストーラーを利用して、独自のPythonベースリモートアクセス型トロイの木馬(RAT)「Starland RAT」と、高度なPowerShellメモリインプラント「WLDRエージェント」を含む多段階の感染チェーンを配布します。

攻撃はソーシャルエンジニアリングから始まり、ClickFix型の誘導手法を用いてユーザーに悪意あるコマンドを実行させているとみられます。

これにより、mshta.exeを介して武器化されたHTAファイルがダウンロードされ、正規ソフトウェアのトロイの木馬化バージョンが密かにインストールされます。

確認された誘導手口には、MobaXterm、Zoom、WebEx、DBeaverといった広く利用されているツールに加え、ゲームプラットフォームのFACEITも含まれています。

これらのインストーラーはNullsoft Scriptable Install System(NSIS)を用いて改変されており、隠されたPythonランタイムと、「LICENSE.txt」のような無害なファイルに偽装した悪意あるローダーが組み込まれています。

実行されると、ローダーはXORベースの難読化を用いてStarland RATを復号し、メモリ上で直接起動します。

ITツール、開発者向けプラットフォーム、一般消費者向けアプリケーションにまたがる幅広い標的選定は、特定の業種に絞るのではなく、感染数の最大化を狙った量産型の配布モデルであることを示しています。

展開されると、Starland RATはスケジュールタスクとスタートアップショートカットを通じて永続化を確立し、権限昇格を試みます。

また、ハードウェア識別子、アンチウイルス情報、Active Directory情報、スクリーンショットを収集するなど、広範なシステム偵察を実行します。

さらに、40種類以上の暗号資産ウォレットやブラウザ拡張機能をスキャンしており、明確な金銭目的がうかがえます。

このマルウェアは暗号化されたHTTPリクエストを用いてコマンド&コントロール(C2)サーバーと通信し、ハードウェアベースのIDによって被害者を一意に識別します。

注目すべき点として、Polygonのスマートコントラクトを利用してバックアップC2インフラを取得するブロックチェーンベースのフォールバック機構を組み込んでおり、テイクダウン(摘発)への耐性を動的に高めています。

Starland RATは複数のコマンド種別に対応しており、攻撃者はシェルコマンドの実行、シェルコードの注入、追加ペイロードのダウンロードなどを行うことができます。

例えば、64ビット向けのシェルコード感染では、ブラウザの認証情報、暗号資産ウォレット、メッセージングプラットフォームを狙う.NETベースの情報窃取マルウェア「CastleStealer」が展開されます。

一方、32ビットシステムでは、著名な監視・遠隔操作ツールであるRemcos RATが標的とされる場合があります。

これと並行して、攻撃者はWLDRエージェントも展開します。これは完全にメモリ上で動作する、ファイルレスのPowerShellベースバックドアです。

難読化されたPowerShellステージャーを介して配信されるWLDRは、HMAC認証を伴うAES-256-CBCと、並行タスク処理をサポートするRunspaceベースの実行エンジンを使用します。

その機能の一例がリアルタイムのコマンド実行です。攻撃者は複数スレッドにまたがって実行されるPowerShellスクリプトを送信でき、出力は逐次的に返送されるため、感染システムを対話的に制御することが可能になると、talosintelligenceは述べています

このキャンペーンのインフラは、開発者向けポータルやスタートアップ企業のプラットフォームなど、正規サービスを模した複数のステージングドメインおよびC2ドメインに分散しています。

一部のドメインは乗っ取られたもののようですが、専用に構築されたものも見られます。さらに、Telegramボットを利用してリアルタイムで被害者を追跡し、感染直後にシステムのフィンガープリントや暗号資産関連データを窃取しています。

より強固なプロアクティブ防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCが利用するライブ脅威フィードを統合

翻訳元: https://cyberpress.org/uat-11795-spreads-dual-backdoors/

ソース: cyberpress.org