サイバーセキュリティ研究者によって、新たなマルウェア「MostereRAT」を配布するフィッシングキャンペーンが発見されました。このリモートアクセス型トロイの木馬(RAT)はMicrosoft Windowsシステムを標的とし、攻撃者に感染したマシンへの完全な制御権を与えます。
この脅威を発見したFortiGuard Labsによると、このキャンペーンの特徴は、高度な回避技術を多層的に使用している点です。マルウェアは中国発のコーディング言語であるEasy Programming Language(EPL)で記述されており、サイバー攻撃で使われることは稀です。また、複数の段階を経て悪意ある動作を隠します。
セキュリティツールの無効化、ウイルストラフィックの遮断、相互TLS(mTLS)を用いたC2(コマンド&コントロール)サーバーとの安全な通信の確立が可能です。
攻撃の流れと配布手法
このキャンペーンは、主に日本のユーザーを標的とした、正規のビジネス問い合わせを装うフィッシングメールから始まります。被害者がリンクをクリックすると、隠しアーカイブを含むWord文書がダウンロードされます。そのファイルは、埋め込まれた実行ファイルを開くようユーザーに促し、マルウェアが起動します。
実行ファイルは自身のコンポーネントを復号し、システムディレクトリにインストールします。永続化のためにサービスが作成され、一部は最大権限を持つSYSTEMレベルで実行されます。終了前に、簡体字中国語で「ファイルが非互換である」と偽のメッセージを表示し、さらなる拡散を促す手口が使われます。
アジア市場を標的としたフィッシングキャンペーンについてさらに読む:ShadowSilkキャンペーンが中央アジア政府を標的に
Deepwatchの上級サイバー脅威インテリジェンスアナリスト、ローレン・ラッカー氏は「初期の攻撃経路がフィッシングメールによる悪意あるリンクやウェブサイトのダウンロードであることから、ブラウザのセキュリティが防御の重要なポイントとなる」と述べています。
また、ダウンロードの自動化を制限し、ユーザー権限を制限するポリシーを徹底することで、SYSTEMやTrustedInstallerへの権限昇格を防ぐことができると付け加えました。
MostereRATは、セキュリティ保護を妨害する複数の手法を使用します。Windows Updateの無効化、ウイルス対策プロセスの強制終了、セキュリティツールがサーバーと通信するのをブロックすることが可能です。
さらに、Windowsシステムで最も強力なアカウントの一つであるTrustedInstallerアカウントを模倣することで権限を昇格させます。
BeyondTrustのフィールドCTO、ジェームズ・モード氏は「このマルウェアは、新しいスクリプト言語と信頼されたリモートアクセスツールを組み合わせることで検知を回避する創造的な手法を使っているが、依然として過剰な権限を持つユーザーやアプリケーション制御のないエンドポイントを悪用する一般的なパターンに従っている」と説明しています。
機能とリモートアクセスツール
一度感染すると、このRATは以下を含む幅広い機能をサポートします:
-
キーロギングやシステム情報の収集
-
EXE、DLL、EPK、シェルコード形式でのペイロードのダウンロードおよび実行
-
永続化のための隠し管理者アカウントの作成
-
AnyDesk、TightVNC、RDP Wrapperなどのリモートアクセスツールの実行
FortiGuard Labsは、このマルウェアのインフラの一部が2020年に報告されたバンキングトロイの木馬と関連していたことを指摘しています。その進化形であるMostereRATは、脅威アクターが最新の検知システムを回避する技術を継続的に洗練させていることを示しています。
モード氏は、権限の削減とアプリケーション制御の重要性を強調しました。「ローカル管理者権限を削除すれば、攻撃対象領域を大幅に減らし、マルウェア感染の影響を最小限に抑えることができます」と締めくくりました。
翻訳元: https://www.infosecurity-magazine.com/news/rat-targets-windows-users-stealth/