新たに出現するトロイの木馬やインフォスティーラーは、それぞれ固有の「シグネチャ」によって定義される独自の物語であるかのように見えるかもしれません。しかし、Splunk脅威リサーチチームはより広い視点を採り、憂慮すべき均質性を明らかにしました。多くの主要なインフォスティーラーやリモートアクセス型トロイの木馬(RAT)は、ほぼ同一の戦術レパートリーを用いており、攻撃の大枠となる論理よりも、実行の細部において差異があるに過ぎません。
Splunkのチームは、活動中のキャンペーンで観測されたものから公開フォレンジックで広く文書化されたものまで、およそ18のマルウェアファミリーを精査し、MITRE ATT&CKマトリクスに照らして整理しました。この分析により、サイバー攻撃者間で共有される「共同の武器庫」が浮かび上がりました。標準化された一連の手口が、異なる脅威にまたがって永続化、回避、データ持ち出しを可能にしているのです。
最も広く見られた手法はT1105(Ingress Tool Transfer)で、感染後に二次コンポーネント、プラグイン、補助ペイロードを取得できる能力です。これに続くのがT1082(System Information Discovery)で、マルウェアがホスト名、Windowsのバージョン、ハードウェア仕様を収集し、侵害された環境の性質を把握します。本調査はまた、HTTP(T1071.001)などの標準的なWebプロトコルを介してコマンド&コントロール(C2)基盤と通信する傾向も強調しています。防御側にとって示唆は明確です。短命なファイルハッシュではなく、こうした持続的な手法を中心に検知戦略を組み立てれば、複数のマルウェアファミリーを同時に無力化できます。
これらの作戦の機微は、「何を」するかと同じくらい「どのように」行うかにあります。たとえば、複数のファミリーがWindows Management Instrumentation(WMI)を活用してシステム情報を集約し、「ビーコン」の一部としてC2へ送信します。別の一般的な戦術として、正規のIPルックアップサービスに問い合わせて被害者の外部IPとジオロケーションを特定し、地理的・組織的な重要度に基づいて標的の優先順位を付けられるようにするものがあります。
ホスト内に足場を確保するため、攻撃者はレジストリのRunキーや、schtasks.exeによるスケジュールタスクといった、ありふれていながら効果的なWindowsの仕組みをしばしば悪用します。Splunkによれば、一部のファミリーは特定のディレクトリやファイルパスを対象にWindows Defenderへ除外設定を追加し、防御をさらに弱体化させます。より攻撃的な手口としては、SeDebugPrivilegeの取得やアクセストークンの操作により、システムプロセスを完全に支配することもあります。
研究の大きな部分は、ブラウザからの認証情報の持ち出しに割かれています。多くのファミリーは、ブラウザの保管庫から保存済みログイン情報を直接抽出し、復号する能力を備えています。さらに、GitLabやDropboxのような正規のWebサービスをC2基盤やペイロードの保管場所として悪用することも、繰り返し見られるテーマです。
とはいえ、マルウェアファミリーが完全に同一であることはまれです。Splunkは、フォレンジック上の指紋となる特異な手口を特定しました。たとえば、njRATのある亜種はマスターブートレコード(MBR)を上書きでき、データ窃取の任務を破壊的な攻撃へと変貌させます。DarkCrystal RATは、w32tmコマンドによる不明瞭な実行遅延を利用します。これは正規環境では稀であり、検知の有力な指標となります。Castle RATはAppInfo RPCを介してUACを回避することで特徴づけられ、RedLine Stealerは感染の長期化を狙ってWindows Updateのコンポーネントを無効化する様子が観測されています。
Splunkの最終的な結論は実務的です。共有された戦術レパートリーの存在は、防御側が後続のマルウェア反復にも耐性のある汎用的な検知ヒューリスティクスを構築することを可能にします。同時に、稀で特定的な特異点を見極めることはインシデント対応において依然として重要であり、調査者が攻撃者の正体と高度さを正確に見分ける助けとなります。
