新しいマルウェア・アズ・ア・サービス（MaaS）プラットフォーム「Atroposia」は、サイバー犯罪者に持続的なアクセス、回避、データ窃取、ローカル脆弱性スキャンの機能を組み合わせたリモートアクセス型トロイの木馬（RAT）を提供します。

このマルウェアは月額200ドルのサブスクリプションで提供され、隠しリモートデスクトップ、ファイルシステム制御、データ流出、クリップボード窃取、認証情報窃取、暗号通貨ウォレット窃取、DNSハイジャックといった高度な機能が利用可能になります。

Atroposiaはデータセキュリティ企業Varonisの研究者によって発見されました。同社は、これは使いやすく手頃な「プラグアンドプレイ」型ツールキットの最新例であり、SpamGPTやMatrixPDFと並ぶものだと警告しています。

Atroposiaの概要

Atroposiaはモジュール式のRATで、暗号化されたチャネルを介してコマンド＆コントロール（C2）インフラストラクチャと通信し、Windowsシステムで特権昇格のためにユーザーアカウント制御（UAC）保護を回避できます。

研究者によると、感染したホスト上で持続的かつステルスなアクセスを維持でき、主な機能は以下の通りです：

• HRDP Connectモジュールはバックグラウンドで隠れたデスクトップセッションを生成し、攻撃者がアプリの起動、ドキュメントやメールの閲覧、ユーザーセッションとのやり取りを、何の痕跡もなく行えるようにします。Varonisによれば、標準的なリモートアクセス監視では検知できない場合があります。

  

• エクスプローラー風ファイルマネージャは、リモートでファイルの閲覧、コピー、削除、実行が可能です。グラバーコンポーネントは特定のファイルを拡張子やキーワードでフィルタリングし、パスワード保護されたZIPアーカイブに圧縮して、メモリ内技術で痕跡を最小限にしつつ流出させます。

  

• スティーラーモジュールは保存されたログイン情報、暗号通貨ウォレット、チャットファイルを標的とし、クリップボードマネージャはリアルタイムでコピーされたすべて（パスワード、APIキー、ウォレットアドレスなど）を取得し、攻撃者に履歴として提示します。
• ホストレベルのDNSハイジャックモジュールは、ドメインを攻撃者のIPにマッピングし、被害者を密かに不正サーバーへ誘導します。これにより、フィッシング、MITM、偽アップデート、広告やマルウェアの注入、DNSベースのデータ流出が可能になります。

  

• 組み込みのローカル脆弱性スキャナーは、未適用パッチ、不安全な設定、脆弱なソフトウェアを監査し、攻撃者がエクスプロイトの優先順位を決めるためのスコアを返します。これにより、RATのモジュール式・プラグインベースのワークフローが示されています。

研究者によると、脆弱性チェックは「企業環境では危険であり、マルウェアが古いVPNクライアントや未修正の特権昇格バグを見つける可能性がある」としています。これにより、より深いアクセス権を簡単に得られる恐れがあります。

Varonisの研究者は、このモジュールが未適用パッチ、不安全な設定、古いソフトウェアバージョンをチェックすると述べています。この機能は、近隣のシステムで悪用可能なものを見つけるためにも使われる可能性があります。

Atroposiaの登場により、サイバー犯罪者向けのMaaSの選択肢がさらに増え、技術的なハードルが下がり、スキルの低い脅威アクターでも効果的な攻撃キャンペーンを実行できるようになっています。

リスクを軽減するため、ユーザーは公式サイトや信頼できるソースからのみソフトウェアをダウンロードし、違法コピーやトレントを避け、プロモーションされた検索結果をスキップし、理解できないオンラインのコマンドは絶対に実行しないよう推奨されています。