出典:IanDagnall Computing(Alamy ストックフォトより)
サイバー犯罪者は、プラグアンドプレイ型のリモートアクセス型トロイの木馬(RAT)「Atroposia」を販売しており、新たな脅威アクターが企業を標的にするためのハードルをさらに下げています。
データセキュリティベンダーのVaronisは本日、Atroposiaに関する調査結果を発表しました。同社によると、Atroposiaは「暗号化されたコマンドチャネル、隠されたリモートアクセス、認証情報やウォレットの窃取、永続化」を利用し、被害者をポストエクスプロイト活動で標的にします。高度な機能に加え、VaronisはこのRATが技術的知識の少ない脅威アクターの参入障壁を下げるターンキー型攻撃者製品の増加リストに加わったと述べています。
例えば、Haoziギャングは、ほとんど操作不要でフィッシングキャンペーンを自動化する製品を販売しています。Varonisの研究者は悪意あるPDFビルダーMatrixPDFに言及し、ランサムウェア・アズ・ア・サービス(RaaS)エコシステムも堅調で、最大手の犯罪組織がマルウェアキットをアフィリエイトに販売しています。新興製品の中にはAI機能を統合したものもあります。
Atroposiaが注目されるのは、犯罪グループが企業を標的とするために必要なツールを、最も技術力の低い攻撃者にも提供する新たな手段を示しているからです。
Atroposia:RAT-as-a-Service
Varonisによると、研究者は最近、Atroposiaが地下フォーラムで宣伝されているのを発見しました。これは、隠されたリモートデスクトップ乗っ取り、認証情報や暗号通貨の窃取、DNSハイジャック、脆弱性スキャン(おそらく後続活動のため)など、多数の攻撃機能を備えたモジュラー型RATとして販売されています。
Varonisの研究者Daniel Kelley氏はDark Readingに対し、攻撃者は通常、フィッシングによって初期アクセスを得ると述べています。メールにAtroposia感染をマルウェアペイロードとして添付したり、悪意あるウェブサイト経由で配布したり、未修正のソフトウェアを悪用したりします。Kelley氏によれば、Atroposiaは既存の足場からバックドアとしてポストコンプロマイズ後に配布することも可能です。
「一部の(マルウェア)ベンダーは配布ガイダンスも同梱していますが、より一般的には購入者がRATを購入し、自分自身の配布方法を使う傾向があり、完全な『RAT-as-a-Service』の配布スタックに依存することは少ないです」と彼は説明します。
このRATの運用者は、マルウェアとそのフロントエンドコントロールパネルを月額約200ドル、3か月で500ドル、6か月で900ドルで販売しています。
このトロイの木馬の最も興味深い特徴の一つは、隠されたリモートデスクトッププロトコル(RDP)機能です。これにより、リモートデスクトップセッションが見えない形で確立されます。Kelley氏によれば、マルウェアはカスタムのRDPライクな実装を利用し、被害者のマシン上で完全にインタラクティブなセッションを確立しますが、ログイン中のユーザーには画面上に何の表示もありません。
「ウィンドウやカーソルの動き、UIの痕跡は一切なく、攻撃者のセッションはバックグラウンドで実行され、標準のWindows RDPインターフェースを回避します」と彼は言います。「異常なプロセス活動を監視したり、高度なネットワーク/エンドポイントテレメトリを使ったりしない限り、侵害の明確な兆候はありません。」
攻撃者はアプリケーションを開いたり、機密文書やメールを閲覧したり、ワークフローを操作したり、スパイ活動やデータ窃取に必要なプロセスをリアルタイムで実行できます。
Atroposiaは使いやすいフロントエンドとコントロールパネルを備えており、専用のファイルマネージャも搭載しています。これにより、必要に応じてファイルの検索、アクセス、ダウンロード、削除、実行が可能です。前述の隠しRDP機能のおかげで、これらはステルスで行われます。「このレベルのコントロールにより、侵入者はユーザーのワークステーションやネットワーク共有上の文書、ソースコード、データベースを静かに物色できます。Atroposiaのデータ窃取ツールは、ファイルレスかつ大量に情報を流出させるよう設計されています」とVaronisのブログ記事には書かれています。
Varonisが強調したもう一つの側面は、マルウェアがDNSハイジャックモジュールを通じてネットワークトラフィックを操作できる点です。これにより、攻撃者は感染システムのDNSクエリをリダイレクトできます。
「運用者はドメインを入力し、偽のIPアドレスを割り当てることができます。一度ルールが追加されると、被害者のマシンがそのドメインにアクセスしようとするたびに、攻撃者が選んだサーバーに静かにリダイレクトされます」とVaronisは述べています。「これにより、フィッシングや中間者攻撃の道が開かれます。攻撃者は企業のログインポータルやあらゆる企業サービスを悪意ある偽サイトにリダイレクトし、認証情報を取得できます。しかもユーザーのブラウザのURLは正しく表示されたままです。」
これらすべてに加え、永続化メカニズム、クリップボードアクセス、ユーザーアカウント制御(UAC)バイパスなどの機能も備えています。
Atroposiaに対して防御側ができること
Atroposiaは現在、サイバー犯罪者によって購入・使用されています。このツールキットはまだ新しいものですが、Varonisはアフィリエイトがデータ窃取や長期的なアクセスのためにテストすることで、より広く普及すると予想しています。
Kelley氏は、防御側には初期アクセスを防ぐために強力なフィッシング対策(システムのパッチ適用、従業員教育、メールの強化、多要素認証の徹底)を維持し、エンドポイントやデータセキュリティの可視性を高めて侵害後の検知を強化することを推奨しています。
「マルウェアを見つけるだけでは不十分です。組織はデータがどのようにアクセスされ、移動し、流出しているかを理解する必要があります」と彼は言います。「ユーザーの活動、ファイルの挙動、ネットワークシグナルを相関させることで、信頼されたアカウントがデータ窃取に使われている場合を特定できます。これはまさにAtroposiaのような脅威の手口です。」
