研究者たちは、脆弱性スキャン、隠密アクセス、DNSハイジャックを組み合わせた、低価格で多機能なマルウェア・アズ・ア・サービスキットを発見しました。
サイバー犯罪はますます商品化されており、ハッカーの参入障壁を大きく下げ、防御側の負担を増しています。
Varonisの研究者は、Atroposiaと名付けられた、経験の浅い脅威アクターでも月額わずか200ドルで効果的に利用できる、即戦力のプラグアンドプレイ型ツールキットを発見しました。
このリモートアクセス型トロイの木馬(RAT)は、ほとんど見えないツールと暗号化されたコマンドチャネルを使ってシステムに侵入し、さらに悪用できる脆弱性をスキャンし、認証情報を盗み、ユーザーの活動を監視し、自在にマシンを乗っ取ります。
「ここで新しいのは、Atroposiaの機能の幅広さと、低コード/低スキルのサイバー犯罪者向けに設計されている点です」とBeauceron SecurityのDavid Shipleyは述べています。「この種のツールは、以前はもっと知識や経験が必要で、よりエリート的で高価なものでした。」
Atroposiaの仕組み
Atroposiaはアンダーグラウンドフォーラムで「攻撃的な機能をフル装備」として宣伝されています。これには、隠されたリモートデスクトップ乗っ取り、脆弱性スキャン、リモートでのシステムシャットダウン・再起動・スリープ、認証情報の窃取と権限昇格回避、ドメインネームサービス(DNS)ハイジャック、エラー・レポート・アクション出力(その他多数)が含まれます。
Varonisの研究者によると、そのコントロールパネルとプラグインビルダーにより「驚くほど簡単」に操作でき、コストも低く、月額200ドル、3か月で500ドル、6か月で900ドルです。
すべてのコマンド&コントロール(C2)サーバー通信は暗号化されており、マルウェアはユーザーアカウント制御(UAC)バイパスによる権限昇格で管理者権限を取得し、システム再起動後も生き残るメカニズムをインストールできます。パッケージに含まれる隠しリモートデスクトップ「HRDP Connect」は、ユーザーに気づかれずにセッションを確立します。
「Atroposiaはバックグラウンドで隠密なデスクトップセッション、いわば見えないシャドウログインを生成し、攻撃者がシステムと完全にやり取りできるようにします」と研究者たちはブログ投稿で述べています。「侵入者はユーザーの活動を監視したり、認証済みセッションに便乗したりしても検知されません。」
ハッカーはアプリを開いたり、機密文書やメールを閲覧したり、データをダウンロード・削除したり、ワークフローを操作したりして、「サイレント・マン・イン・ザ・デスクトップ」となります。
Atroposiaの内蔵脆弱性スキャナーは、未適用のソフトウェアパッチ、安全でない設定、バグ、古いVPNクライアントを監査・特定します。結果はスコアやレポートとして提供され、攻撃者にシステムの脆弱性の全体像を与えます。
Atroposiaはメモリ上で直接動作し、大量の情報を一括で外部送信するよう設計されています。Varonisの研究者によると、拡張子やキーワード(例:すべてのPDFやCSVファイル)でファイルを探し、パスワード付きZIPに圧縮して持ち出すグラバーモジュールを使います。この手法は痕跡をほとんど残しません。
また、このパッケージは脅威アクターが被害者のクリップボードをリアルタイムで監視し、コピー&ペーストされた情報を取得・記録することも可能です。さらに、攻撃者はDNSハイジャックでトラフィックをリダイレクトしたり、広告やマルウェアを注入したり、偽のソフトウェアアップデートを配布したり、フィッシングや中間者攻撃の足がかりを作ることができます。
「攻撃者は最初の足がかりを得た後、永続化を目指し、水平・垂直方向の権限昇格を試み、侵害されたシステムや他のシステムへのアクセスを拡大します」とOutpost24のAIプロダクトディレクター、Martin Jarteliusは指摘します。
Atroposiaは、企業を標的とするRATツールの増加傾向の一つです。Varonisは最近、SpamGPTやMatrixPDF(スパム・アズ・ア・サービスプラットフォームおよび悪意あるPDFビルダー)も発見しています。
Shipleyは、永続化のための追加経路を特定するこの種のパッケージは以前から存在していると指摘します。2016年に遡るMiraiが最も成功した例でしょう。
しかし、Atroposiaはリモートアクセスツールキットの進化において「重要な一歩」だと、脅威インテリジェンス企業SOCRadarのCISO、Ensar Sekerは述べています。複数の高度な機能を単一のプラグアンドプレイパッケージに統合しているためです。特に、攻撃者が横展開する前に内蔵脆弱性スキャンを行う点は「注目すべきエスカレーション」です。
「これは、通常は高度なAPTツールセットでしか見られない偵察自動化のレベルであり、RAT・アズ・ア・サービスキットには珍しい」とSekerは述べています。
脅威状況の拡大
Atroposiaは脅威状況を拡大するとSekerは指摘します。従来の防御は、侵害→権限昇格→横展開→情報流出という明確なチェーンを想定していますが、このパッケージはそのチェーンを圧縮し、多くを自動化します。
隠しリモートデスクトップ機能により、攻撃者は正規ユーザーセッションを装って操作できると彼は述べます。ホストレベルでのDNSハイジャックは、HTTPSトラフィックさえ多くの監視ツールの目をかいくぐって不正インフラに誘導される可能性があります。また、ハードルを下げて高機能ツールキットを低スキルのアクターに提供するため、「資産の封じ込めと迅速な検知がより重要になります。」
この種のマルウェアを検知するのは困難ですが、不可能ではないとSekerは指摘します。Atroposiaは暗号化コマンドチャネルを使い、UIを隠すことが多いため、防御側は説明のつかないシャドウRDPセッション、予期しないDNSレコード変更、ローカル脆弱性スキャン、異常なクリップボード活動などの異常を探すべきです。
Sekerはまた、資産インベントリの検証、未知のリモートデスクトップリスナーやサービスのチェック、(特に権限昇格や認証情報使用に関する)異常なユーザー行動の相関、データアクセスのテレメトリ(ファイル検索・圧縮・外部送信など)をアラートロジックに組み込むことも推奨しています。多要素認証(MFA)も重要であり、管理者アカウントの制限やエンドポイントの分離も必要です。
「定期的なパッチ管理は依然として不可欠ですが、Atroposiaのようなツールキットは既知の脆弱性が残る環境でこそ活躍するため、今や行動監視やネットワーク層の異常検知と組み合わせる必要があります」とSekerは述べています。
BeauceronのShipleyも同意します。「基本が依然として重要です」と彼は強調します。多層防御の基本は、良い境界セキュリティツール(メールフィルター、DNSや次世代ファイアウォール)、エンドポイント保護、迅速な対応プロトコル、継続的な教育です。
しかし、すべてが悲観的なわけではなく、ポジティブな側面もあるとShipleyは主張します。マルウェアの消費者化の流れは、犯罪者も人材確保に苦労していることを示しています。その結果、彼らは企業セキュリティの基本知識不足を補うために新しいツールを作らざるを得ません。
最終的に、「これはサイバー犯罪の消費者化の一部です」とShipleyは述べています。「これをThe Commのようなリクルートや過激化活動と組み合わせれば、デジタル犯罪の拡大にうってつけの魔女の鍋が出来上がります。」
