新たなマルウェア亜種「MostereRAT」を配布するフィッシングキャンペーンが、サイバーセキュリティ研究者によって発見された。リモートアクセス型トロイの木馬(RAT)はMicrosoft Windowsシステムを標的にし、侵害されたマシンを攻撃者が完全に制御できるようにする。
この脅威を発見したFortiGuard Labsによると、このキャンペーンの特徴は、高度な回避技術を層状に用いている点にある。マルウェアはEasy Programming Language(EPL)で書かれており、EPLは中国発のコーディング言語でサイバー攻撃ではほとんど使われない。また、悪意ある挙動を隠すために複数段階に依存している。
セキュリティツールを無効化し、アンチウイルスの通信を遮断し、相互TLS(mTLS)を用いてコマンド&コントロール(C2)サーバーと安全な通信を確立できる。
攻撃チェーンと配布
このキャンペーンは、正規の業務問い合わせを装ったフィッシングメールから始まり、主に日本のユーザーを標的としている。被害者がリンクをクリックすると、隠しアーカイブを含むWord文書がダウンロードされる。そのファイルは、埋め込まれた実行ファイルを開くようユーザーを誘導し、これによりマルウェアが起動する。
実行ファイルはコンポーネントを復号してシステムディレクトリにインストールする。その後、永続化を確実にするためにサービスが作成され、一部は最大限のアクセスを得るためにSYSTEMレベル権限で実行される。終了前に、ファイルに互換性がないことを示唆する簡体字中国語の偽メッセージを表示し、さらなる拡散を促すことを狙った手口となっている。
アジア市場を標的とするフィッシングキャンペーンについて詳しく読む:ShadowSilkキャンペーン、中央アジアの政府機関を標的に
Deepwatchのシニア・サイバー脅威インテリジェンス・アナリストであるLauren Rucker氏は次のように述べた。「初期の攻撃ベクターが、悪意あるリンクやWebサイトからのダウンロードにつながるフィッシングメールであることを踏まえると、ブラウザのセキュリティは防御における重要領域です。」
また、自動ダウンロードを制限し、ユーザー権限を抑えるポリシーを強制することで、SYSTEMやTrustedInstallerへの権限昇格を防ぐのに役立つと付け加えた。
MostereRATは、セキュリティ保護を妨害するために複数の手法を用いる。Windows Updateを無効化し、アンチウイルスのプロセスを終了させ、セキュリティツールがサーバーと通信できないよう遮断できる。
このマルウェアは、Windowsシステム上で最も強力なアカウントの一つであるTrustedInstallerアカウントを模倣することで、権限も昇格させる。
BeyondTrustのフィールドCTOであるJames Maude氏は、「このマルウェアは、新奇なスクリプト言語と信頼されたリモートアクセスツールを連鎖させることで検知回避を図るなど、いくつか創造的な手法を用いていますが、それでもアプリケーション制御のない環境で過剰な権限を持つユーザーやエンドポイントを悪用するという一般的なパターンに従っています」と説明した。
機能とリモートアクセスツール
一度確立されると、このRATは次のような幅広い機能をサポートする。
-
キーロギングおよびシステム情報の収集
-
EXE、DLL、EPK、またはシェルコード形式のペイロードのダウンロードと実行
-
永続化のための隠し管理者アカウントの作成
-
AnyDesk、TightVNC、RDP Wrapperなどのリモートアクセスツールの実行
FortiGuard Labsは指摘しているように、マルウェアのインフラの一部は、2020年に報告されたバンキングトロイの木馬と以前関連付けられていた。MostereRATへの進化は、脅威アクターが現代の検知システムを回避するための手法を継続的に洗練させていることを浮き彫りにしている。
Maude氏は、権限の削減とアプリケーションの制御の重要性を強調した。「ローカル管理者権限を取り除けば、攻撃対象領域を大幅に減らし、マルウェア感染の影響を限定できます」と結論づけた。
翻訳元: https://www.infosecurity-magazine.com/news/rat-targets-windows-users-stealth/
