始まりは、単純な検索です。
同僚のコンピューターにリモートアクセスを設定する必要があります。Googleで「RustDesk download」と検索し、上位の結果のいずれかをクリックすると、ドキュメントやダウンロード、見慣れたブランド要素が揃った洗練されたウェブサイトにたどり着きます。
ソフトウェアをインストールして起動すると、すべてが期待どおりに動作します。
しかし見えないところで、もう1つのプログラムが一緒にインストールされています――攻撃者にあなたのコンピューターへの永続的なアクセスをひそかに与えるものです。
まさにそれが、偽ドメイン rustdesk[.]work を用いたキャンペーンで私たちが観測した内容です。
餌:ほぼ完璧ななりすまし
私たちは、正規のRustDeskプロジェクト(rustdesk.com でホスト)になりすました悪意のあるウェブサイト rustdesk[.]work を特定しました。偽サイトは多言語コンテンツを備え、さらに(皮肉にも)rustdesk[.]work が唯一の公式ドメインであると主張する目立つ警告まで含めて、本物を非常によく模倣しています。
このキャンペーンは、ソフトウェアの脆弱性を悪用したり、高度なハッキング手法に依存したりしません。成功の要因は完全に欺瞞です。ウェブサイトが正規に見え、ソフトウェアが通常どおり動作するなら、多くのユーザーは何かがおかしいとは疑いません。
インストーラーを実行すると何が起きるのか
このインストーラーは、意図的な「餌とすり替え」を行います。
ユーザーにはRustDeskが通常どおり起動しているように見えます。すべてが動作しているように見えます。その一方で、バックドアは攻撃者のサーバーへの接続をひそかに確立します。
動作するソフトウェアにマルウェアを同梱することで、攻撃者は最も分かりやすい危険信号――機能不全や機能欠落――を取り除きます。ユーザーの視点では、何もおかしく感じません。
感染チェーンの内部
マルウェアは段階的なプロセスで実行され、各ステップは検知回避と永続化の確立を目的として設計されています。
ステージ1:トロイの木馬化されたインストーラー
ダウンロードされたファイル(rustdesk-1.4.4-x86_64.exe)は、ドロッパーとデコイの両方として機能します。これはディスクに2つのファイルを書き込みます。
- 正規のRustDeskインストーラー(偽装を維持するために実行される)
logger.exe(Winos4.0のペイロード)
マルウェアは、目立たない形で潜みます。ユーザーがRustDeskが通常どおりインストールされるのを見ている間に、悪意のあるペイロードがバックグラウンドでひそかに準備されます。
ステージ2:ローダーの実行
logger.exeファイルはローダーです――その役割は、メインのインプラントのための環境を整えることです。実行中に、次を行います。
- 新しいプロセスを作成する
- 実行可能メモリを割り当てる
- 新しい実行時の識別子へ実行を移行する:
Libserver.exe
このローダーからインプラントへの引き継ぎは、高度なマルウェアで一般的な手法で、初期ドロッパーと永続的バックドアを分離します。
プロセス名を変更することで、マルウェアはフォレンジック分析を難しくします。防御側が「logger.exe」を探しても、その名前の実行中プロセスは見つかりません。
ステージ3:メモリ内モジュールの展開
Libserver.exeプロセスは、実際のWinos4.0フレームワークを完全にメモリ内で展開します。複数のWinosStager DLLモジュールと、約128MBの大きなペイロードが、単体ファイルとしてディスクに書き込まれることなく読み込まれます。
従来のアンチウイルスツールは、ディスク上のファイルをスキャンする(ファイルベース検知)ことに重点を置いています。機能コンポーネントをメモリ内のみに保持することで、マルウェアはファイルベース検知の有効性を大きく低下させます。これが、Winos4.0のような脅威を検知するうえで、振る舞い分析とメモリスキャンが重要となる理由です。
二次ペイロードは、Winos4.0(WinosStager)として特定されました。これは高度なリモートアクセス・フレームワークで、複数のキャンペーンで観測されており、特にアジアのユーザーを標的としてきました。
有効化されると、攻撃者は次のことが可能になります。
- 被害者の活動を監視し、スクリーンショットを取得する
- キーストロークを記録し、認証情報を盗む
- 追加のマルウェアをダウンロードして実行する
- システム再起動後も永続的なアクセスを維持する
これは単純なマルウェアではなく、フル機能の攻撃フレームワークです。いったんインストールされると、攻撃者は足がかりを得て、諜報活動、データ窃取、あるいは任意のタイミングでランサムウェアを展開することができます。
技術的詳細:マルウェアはどのように隠れるのか
このマルウェアは、検知を回避するために複数の手法を用います。
| 何をするか | どのように実現するか | なぜ重要か |
| 完全にメモリ内で実行する | ファイルを書き込まずに実行コードを読み込む | ファイルベース検知を回避する |
| 解析環境を検出する | 利用可能なシステムメモリを確認し、デバッグツールを探す | セキュリティ研究者による挙動解析を妨げる |
| システム言語を確認する | Windowsレジストリを介してロケール設定を照会する | 特定の地理的地域を標的化(または回避)するために使われる可能性がある |
| ブラウザ履歴を消去する | システムAPIを呼び出して閲覧データを削除する | 被害者が悪性サイトにたどり着いた経緯の証拠を消す |
| 設定をレジストリに隠す | 暗号化データを通常とは異なるレジストリパスに保存する | 簡易な確認では設定が見えないようにする |
コマンド&コントロール(C2)活動
インストール直後、マルウェアは攻撃者が管理するサーバーへ接続します。
- IP: 207.56.13[.]76
- ポート: 5666/TCP
この接続により、攻撃者は感染したマシンにコマンドを送信し、見返りとして盗んだデータを受け取ることができます。ネットワーク分析により、確立されたC2セッションと整合する、持続的な双方向通信が確認されました。
マルウェアが通常トラフィックに紛れ込む方法
このマルウェアは、ネットワーク活動の偽装が特に巧妙です。
| 宛先 | 目的 |
| 207.56.13[.]76:5666 | 悪性: コマンド&コントロールサーバー |
| 209.250.254.15:21115-21116 | 正規: RustDeskのリレートラフィック |
| api.rustdesk.com:443 | 正規: RustDesk API |
被害者は本物のRustDeskをインストールしているため、マルウェアのネットワークトラフィックは正規のリモートデスクトップトラフィックと混在します。これにより、ネットワークセキュリティツールが悪性接続を特定するのははるかに困難になります。感染したコンピューターは、単にRustDeskを実行しているだけに見えるのです。
このキャンペーンが示すもの
この攻撃は、憂慮すべき傾向――正規ソフトウェアをマルウェアのカモフラージュとして利用する――を示しています。
攻撃者はゼロデイ脆弱性を見つけたり、高度なエクスプロイトを作り込んだりする必要はありませんでした。彼らがしたことは単に次のとおりです。
- もっともらしいドメイン名を登録する
- 正規サイトを複製する
- 本物のソフトウェアに自分たちのマルウェアを同梱する
- あとは被害者に任せる
この手法が有効なのは、技術的弱点ではなく人間の信頼を悪用しているからです。ソフトウェアが期待どおりに動作するなら、ユーザーが侵害を疑う理由はありません。
侵害の指標(IOC)
ファイルハッシュ(SHA256)
| ファイル | SHA256 | 分類 |
|---|---|---|
| トロイの木馬化されたインストーラー | 330016ab17f2b03c7bc0e10482f7cb70d44a46f03ea327cd6dfe50f772e6af30 | 悪性 |
| logger.exe / Libserver.exe | 5d308205e3817adcfdda849ec669fa75970ba8ffc7ca643bf44aa55c2085cb86 | Winos4.0ローダー |
| RustDeskバイナリ | c612fd5a91b2d83dd9761f1979543ce05f6fa1941de3e00e40f6c7cdb3d4a6a0 | 正規 |
ネットワーク指標
悪性ドメイン: rustdesk[.]work
C2サーバー: 207.56.13[.]76:5666/TCP
メモリ内ペイロード
実行中、マルウェアは複数の追加コンポーネントを直接メモリ内に展開します。
| SHA256 | サイズ | 種類 |
| a71bb5cf751d7df158567d7d44356a9c66b684f2f9c788ed32dadcdefd9c917a | 107 KB | WinosStager DLL |
| 900161e74c4dbab37328ca380edb651dc3e120cfca6168d38f5f53adffd469f6 | 351 KB | WinosStager DLL |
| 770261423c9b0e913cb08e5f903b360c6c8fd6d70afdf911066bc8da67174e43 | 362 KB | WinosStager DLL |
| 1354bd633b0f73229f8f8e33d67bab909fc919072c8b6d46eee74dc2d637fd31 | 104 KB | WinosStager DLL |
| 412b10c7bb86adaacc46fe567aede149d7c835ebd3bcab2ed4a160901db622c7 | ~128 MB | メモリ内ペイロード |
| 00781822b3d3798bcbec378dfbd22dc304b6099484839fe9a193ab2ed8852292 | 307 KB | メモリ内ペイロード |
身を守る方法
rustdesk[.]workキャンペーンは、攻撃者がエクスプロイトも警告もソフトウェアの不具合もなしにアクセスを得られることを示しています。信頼されるオープンソースツールの背後に隠れることで、この攻撃は永続性と隠れ蓑を獲得し、被害者に侵害を疑う理由を与えませんでした。
要点はシンプルです。ソフトウェアが正常に動作しているからといって、安全であるとは限りません。現代の脅威は周囲に溶け込むよう設計されており、多層防御と振る舞い検知が不可欠です。
個人向け:
- ダウンロード元を必ず確認する。 ソフトウェアをダウンロードする前に、ドメインが公式プロジェクトと一致しているか確認してください。RustDeskの場合、正規サイトはrustdesk.comであり、rustdesk.workや類似の派生ドメインではありません。
- 検索結果を疑う。 攻撃者はSEOポイズニングを用いて、悪性サイトを検索結果の上位に押し上げます。可能であれば、検索リンクをクリックするのではなく、公式サイトへ直接アクセスしてください。
- セキュリティソフトを使用する。 Malwarebytes Premium Security は、正規ソフトウェアに同梱されている場合でも、Winos4.0のようなマルウェアファミリーを検知します。
企業向け:
- 不審なネットワーク接続を監視する。 5666/TCPポートでの外向きトラフィック、またはリモートデスクトップソフトを実行しているシステムから未知のIPアドレスへの接続は、調査すべきです。
- アプリケーションの許可リスト(allowlisting)を実装する。 環境内で実行できるアプリケーションを制限し、未承認ソフトウェアの実行を防いでください。
- タイポスクワッティングについてユーザーを教育する。 研修プログラムには、偽サイトの例と正規のダウンロード元を確認する方法を含めるべきです。
- 既知の悪性インフラをブロックする。 上記のIOCをセキュリティツールに追加してください。
