Securonixの研究者は、NetSupport RATリモートアクセスツールを密かに展開するよう設計された多層型マルウェアキャンペーンを発見しました。この攻撃は、慎重に難読化された複数のステージを通じて進行し、それぞれが最大限のステルス性と、侵害されたシステム上でのフォレンジック痕跡を最小限に抑えるよう設計されています。
最初の配信は、侵害されたウェブサイトに埋め込まれたJavaScriptファイルから始まります。このスクリプトは複雑な構造と隠されたロジックを備えており、特定の条件下でのみ動作します。ユーザーのデバイスタイプを識別し、そのページが初めて訪問されているかどうかを検出できるため、悪意あるルーチンはデバイスごとに一度だけ実行されるようになっています。条件が満たされると、スクリプトはページ内に不可視のフレームを挿入するか、次のステージであるHTMLアプリケーションを取得します。
第2段階では、HTAファイルがネイティブのWindowsユーティリティであるmshta.exeを介して実行される隠れたアプリケーションとして起動されます。このコンポーネントは暗号化されたPowerShellスクリプトを抽出し、多段階のプロセスで復号して、メモリ上で直接実行します。その結果、悪意ある活動はディスク上に永続的なファイルを残さず、従来型のアンチウイルスによる検出を大幅に困難にします。
最終段階では、NetSupport RAT本体のダウンロードとインストールが行われます。PowerShellスクリプトはアーカイブを取得し、目立たないディレクトリに展開したうえで、JScriptラッパーを通じて実行ファイルを起動します。永続性を維持するため、Windowsアップデートコンポーネントを装ったショートカットがシステムのスタートアップフォルダに配置され、再起動後も攻撃者がアクセスを保持できるようにします。
NetSupport RATは、もともと正当なリモート管理ツールですが、スパイ行為、データ窃取、完全なリモート制御などの目的で脅威アクターに頻繁に悪用されています。このキャンペーンでは、感染したシステムに対する包括的なコマンド権限を攻撃者に与え、キーストロークの取得、ファイル操作、コマンド実行、ネットワーク内での横移動のためのプロキシ機能などを可能にします。
アナリストによると、この悪意あるインフラは積極的に維持・定期的に更新されており、そのアーキテクチャの高度な洗練度から、高度なスキルを持つ開発者の関与が示唆されます。キャンペーンは主に企業ユーザーを標的としており、ダミーサイトや隠れたリダイレクトを通じて拡散しています。その技術的な複雑さにもかかわらず、研究者たちは現時点で、この作戦を既知のサイバー犯罪グループのいずれにも帰属させることができていません。
このキャンペーンは、署名されていないスクリプトの実行をブロックすること、システムプロセスの振る舞い監視を強化すること、スタートアップディレクトリを綿密に点検すること、そして異常なネットワーク活動を分析することの重要性を浮き彫りにしています。特に、mshta.exeの使用制限や、%TEMP%およびProgramDataディレクトリへのファイルダウンロード試行の監視に注意を払う必要があります。
