ハッカーたちは ResokerRAT と呼ばれる新しい Windows マルウェアをデプロイしており、これは Telegram ベースのリモート アクセス トロイの木馬(RAT)で、攻撃者に感染したシステムへのステルスなリモート制御を与えています。
従来のコマンド・アンド・コントロール(C2)サーバに依存する代わりに、ResokerRAT は Telegram Bot API を悪用してコマンドを受け取り、データを流出させ、合法的な暗号化トラフィックに溶け込みます。
ユーザーが Resoker.exe を実行すると、マルウェアはまず CreateMutexW を使用して「Global\ResokerSystemMutex」という名前のミューテックスを作成し、RAT の 1 つのインスタンスだけがシステム上で実行されることを保証します。
その後、IsDebuggerPresent 経由でアンチデバッグ チェックを実行します。デバッガが検出された場合、ResokerRAT はカスタム例外ロジックをトリガーして分析を複雑にします。
マルウェアはまた、「runas」動詞で ShellExecuteExA を呼び出して管理者権限で自身を再起動しようとし、昇格が成功した場合は元のプロセスを終了し、失敗を Telegram C2 に報告します。
レポートによると、ResokerRAT は Process32NextW で実行中のプロセスを列挙し、OpenProcess と TerminateProcess 経由で Taskmgr.exe、Procexp.exe、ProcessHacker.exe などの一般的な監視ツールを終了します。
プロセス終了を超えて、SetWindowsHookExW を WH_KEYBOARD_LL フラグで使用してグローバル キーボード フックをインストールし、キーストロークをログするのではなく、ALT+TAB、ALT+F4、CTRL+SHIFT+ESC、CTRL+ALT+DEL、Windows キーなどの機密キーの組み合わせをブロックします。
これは被害者がウィンドウを簡単に切り替えたり、タスク マネージャーを開いたり、セキュア アテンション シーケンスを使用してマルウェアを中断したりするのを防止します。
Telegram ベースの ResokerRAT
ResokerRAT は、攻撃者がリアルタイムでホストをリモートで制御できるようにするいくつかの Telegram コマンドを公開しています。
/screenshot コマンドはローカル「Screenshots」フォルダーを作成し、System.Windows.Forms と System.Drawing をロードし、CopyFromScreen を使用して現在のスクリーンをキャプチャし、PNG 画像として保存する隠しの PowerShell スクリプトを実行し、オペレーターにユーザー活動のライブ ビジュアル ビューを提供します。
PowerShell は -WindowStyle Hidden で実行されるため、被害者は見える窓が見えません。/download コマンドは別の隠し PowerShell 呼び出しを使用して、攻撃者が提供した URL から「downloads」フォルダーに任意のペイロードを取得し、ファイルが保存されたかどうかを確認した後、オプションでステータスをボットに報告します。
マルウェアはステルスと永続性のために Windows 設定も操作します。/block_taskmgr を使用すると、DisableTaskMgr レジストリ値を 1 に設定してタスク マネージャーが開くのを防ぎます。/unblock_taskmgr は同じ値を 0 にリセットして、攻撃者が通常の動作を復元したい場合は疑わしさを減らします。
永続性は /startup コマンドを通じて確立され、マルウェア パスを HKCU\Software\Microsoft\Windows\CurrentVersion\Run の「Resoker」値に書き込み、Telegram 経由で送信される「Added to startup」メッセージで成功を確認します。
2 つのコマンド /uac-min と /uac-max は、注目を集めずに User Account Control を弱めたり復元したりするために専念しています。
/uac-min が実行されると、ResokerRAT は ConsentPromptBehaviorAdmin を 0 に設定し、PromptOnSecureDesktop を 0 に設定して、EnableLUA を 1 に保ったまま、実質的に UAC プロンプトとセキュア デスクトップをオフにして、ユーザーに有効に見えながらリブートを避けます。
対照的に、/uac-max は既存の値をチェックした後、デフォルト値(ConsentPromptBehaviorAdmin = 2、PromptOnSecureDesktop = 1、EnableLUA = 1)を復元し、UAC ポップアップと薄暗いセキュア デスクトップ環境を再度有効にします。
防御の観点から、ResokerRAT はいくつかの MITRE ATT&CK 技術と重なっています。その隠し PowerShell 使用は、実行下の T1059.001(PowerShell)と T1202(間接コマンド実行)に一致し、スクリーンショットをキャプチャし、ファイルをダウンロードし、データを送信するための仲介者として PowerShell を活用します。
HKCU Run キー経由の永続性は T1547.001(Registry Run Keys/Startup Folder)に対応し、プロセス列挙は T1057(Process Discovery)にマップされます。
防御回避には、タスク マネージャーを無効化するための T1562.001(Impair Defenses)と、隠し PowerShell 実行のための T1564.003(Hidden Window)が含まれ、キーボード フック動作は T1056.001(Input Capture)に適合します。
ステルスと回避戦術
コマンド アンド コントロールのために、ResokerRAT Telegram Bot API URL をハードコードされたボット トークンとチャット ID を含めて構築し、HTTPS 経由でコマンド(getUpdates)をポーリングし、ステータス メッセージ(sendMessage)を送信します。
このトラフィックは Wireshark などのツールで観察され、149[.]154[.]166[.]110 などの IP 経由で api.telegram.org への暗号化接続として表示され、正当な Telegram 使用と区別することが難しくなっています。
RAT はまた、正常な昇格やボットに送信されたメッセージなどのイベントを記録するためにその作業ディレクトリにローカル ログ ファイルを書き込み、流出前にデータを URL エンコードして HTTP(S) 経由での確実な送信を保証します。
セキュリティ チームは、エンドポイントからの疑わしい Telegram Bot API トラフィック、隠しウィンドウで起動される異常な PowerShell 呼び出し、「Resoker」という名前の予期しない Run キー エントリ、および DisableTaskMgr と UAC 関連の値の周りのレジストリ変更を監視する必要があります。
ユーザーは、K7TotalSecurity などの評判の良いセキュリティ スイートを更新したまま、不信頼できるソースから不明な添付ファイルまたはツールを実行することを避け、無効にされたシステム ユーティリティまたは Telegram で制御される RAT 感染を示す可能性のある異常なシステム動作に注意することをお勧めします。
IOCs
| ハッシュ | ファイル名 | 検出名 |
| 7a1d6c969e34ea61b2ea7a714a56d143 | Resoker.exe | Trojan ( 0001140e1 ) |
翻訳元: https://gbhackers.com/telegram-based-resokerrat/
