オープンソースのQuasar RATを高度に進化させたPulsar RATは、強化されたステルス機能とファイルレス実行手法を用いて、Windowsシステムを積極的に標的にしています。
このモジュール型リモートアクセス型トロイの木馬は、メモリのみのロード、隠れた仮想ネットワークコンピューティング(HVNC)、および暗号資産ウォレットのクリッピングを組み合わせ、従来のセキュリティ防御を回避しながら永続的なバックドアアクセスを確立します。
メモリのみの展開による高度な回避
このマルウェアは、従来の検知手法を回避する高度なアンチ解析メカニズムによって際立っています。
Pulsarは、サンドボックス環境で一般的に見られる「QEMU HARDDISK」などの文字列をディスクラベルから検査することで、アンチ仮想化チェックを行います。
仮想マシンの兆候が検出されると、解析を回避するために実行は直ちに終了します。
このRATは.NETのリフレクションを使用してペイロードを直接メモリに読み込み、ディスクへの書き込みを回避し、ディスクベースのセキュリティ監視をすり抜けるファイルレス手法を実装します。
コードインジェクション機能により正規プロセス内での実行が可能となり、プロセス名に基づく検知は無効化されます。
これらの手法の組み合わせは、フォレンジック上の可視性を大幅に低下させ、インシデント対応を困難にします。
ネットワーク通信にはTLS暗号化が用いられ、設定データは公開Pastebinサイトから取得されます。
マルウェアは埋め込みキーを用いてC2設定を復号しサーバーIPアドレスを取得した後、効率的なコマンドのシリアライズのためにMessagePackバイナリプロトコルを使用し、BCryptで暗号化された接続を確立します。
Pulsar RATは主にサプライチェーン侵害とソーシャルエンジニアリングを通じて拡散します。
2025年のnpmサプライチェーン攻撃では、「solders」と「@mediawave/lib」という悪意あるパッケージが関与し、Unicode変数、16進エンコード、Base64、PNG画像に埋め込まれたステガノグラフィなど、7層以上のエンコードを含む極端な難読化が用いられました。
初期侵入は通常、悪意ある添付ファイル付きのフィッシングメール、クラックソフトの配布、または侵害されたサードパーティライブラリを通じて発生します。
実行されると、マルウェアはスタートアップ項目や、最高権限で構成されたスケジュールタスクを通じて永続化を確立します。
注目すべきUACバイパス手法では、HKEY_CLASSES_ROOT\ms-settings\Shell\Open\command内のDelegateExecuteレジストリ値をクリアしたうえで、(Default)値に悪意あるコマンドを書き込みます。
マルウェアのモジュール型プラグインアーキテクチャは、キーロギング、Webカメラおよびマイクへのアクセス、Kematian Grabberモジュールによる認証情報の窃取、暗号資産のクリップボードハイジャックなど、広範な機能をサポートしており、AnyRunが報告しています。
隠れた仮想ネットワークコンピューティング(HVNC)により、攻撃者はユーザーに気付かれる視覚的な兆候を発生させることなく、感染システムを遠隔操作できます。
「FunStuff」とラベル付けされた追加モジュールは、GDIエフェクト、ブルースクリーン(BSOD)の発生、マウス操作の入れ替え、タスクバーの非表示などの機能を提供します。
リバースプロキシのサポートとリモートシェル実行機能により、侵害されたネットワーク内でのラテラルムーブメントが容易になります。
組織は、知的財産の窃取、規制違反、運用の中断といった被害に直面し、復旧には200~500人時を要します。
防御には、EDRプラットフォーム、ネットワークセグメンテーション、ユーザー向けセキュリティ意識向上トレーニングを組み合わせた多層的なセキュリティ対策が必要であり、この脅威を狙うソーシャルエンジニアリング攻撃の60~90%を防止できます。
翻訳元: https://gbhackers.com/pulsar-rat-abuses-memory-only-execution-and-hvnc-for-stealthy-remote-takeover/
