CrySome RATは、新たに確認された高度な.NETリモートアクセストロイの木馬で、攻撃者に侵害されたWindowsマシンへの完全なリモート制御を与えます。
2026年3月に初めて確認されたこのマルウェアはC#で書かれています。コマンド実行、システム情報収集、回避技術の展開を行うモジュラーアーキテクチャを採用しています。標準的なリモートアクセスツールと異なり、CrySomeはCosturaを使用してパッケージ化されています。
Fodyは、すべての依存アセンブリを単一の実行可能ファイルに埋め込みます。このアプローチは脅威アクターの配信プロセスを簡素化しながら、マネージドリソースによってファイルサイズを膨らませます。
実行時に、マルウェアはコマンドアンドコントロールサーバーへの継続的なTCP接続を確立します。アクティブなウィンドウタイトルを含む詳細なホストプロファイルを送信し、オペレーターがリアルタイムでユーザーアクティビティを理解できるようにします。
CrySome RATの技術的機能は単純なコマンド実行をはるかに超え、包括的なサーベイランスおよびシステム制御プラットフォームとなります。
ペイロードは、構造化されたパケットベースのプロトコルを通じて機能を条件付きで有効にし、リモートアプリケーションプログラミングインターフェース(API)として機能します。
オペレーターはシェルおよびPowerShellコマンドをリモートで実行し、ファイルを操作し、アクティブなシステムプロセスをハイジャックできます。
さらに、マルウェアは広範なサーベイランス機能を備えており、攻撃者がスクリーンショットを秘密裏にキャプチャしたり、マイクロフォンからオーディオを録音したり、ウェブカメラ画像をキャプチャしたり、機密認証情報を盗むためにキーストロークをグローバルにログします。
CrySome RATの背後にある永続性エンジニアリングは、システムリセットと基本的なクリーンアップ努力を含む従来の修復技術を乗り越えるための意図的な設計を示しています。
マルウェアはスケジュールされたタスクの作成、RunOnceレジストリキーの変更、自動再起動するWindowsサービスのインストールを含む多層的な生存戦略を採用しています。
削除から身を守るため、CrySomeは独自の実行可能ファイルをロックし、パスを隠し、正当に見える複数のディレクトリに冗長なバックアップコピーを作成します。
メインの実行可能ファイルを監視するセカンダリウォッチドッグプロセスも起動し、プライマリプロセスが終了した場合の自動回復を確保します。
CrySomeが展開した最も高度な永続性メカニズムは、Windowsリカバリパーティションの操作を伴います。
マルウェアは実行可能ファイルをリカバリディレクトリにコピーします。次のシステム初期化時に実行を確保するため、オフラインレジストリを変更します。
ペイロードがリカバリ環境に存在し、オフライン構成を変更するため、完全な工場出荷時リセットを生き残ることができ、感染を根絶するのが非常に困難になります。
現在、CrySome RATの背後にある脅威アクターは、公開可能なサーフェスウェブポータルを通じてcyfirmaマルウェアを配布しています。
このプラットフォームは、継続的なサポート、アップデート、およびオプションの組み込み暗号化機能が付いた、低価格で複数のサブスクリプションティアを提供しています。
2026年3月の時点でプロジェクトは活発に開発されていますが、クラックされたバージョンはすでにアンダーグラウンドフォーラムとTelegramチャネルで流通し始めており、広範な展開のリスクを大幅に増加させています。
翻訳元: https://cyberpress.org/crysome-rat-adds-hvnc/