ResokerRATという名称の新たに識別されたWindowsマルウェアが、Telegram Bot APIを主要なコマンド&コントロール(C2)チャネルとして悪用し、従来の攻撃者保有サーバーに依存せずに感染したシステムをリモートで監視・制御しています。
正当な暗号化Telegramトラフィックに紛れ込むことで、ネットワークディフェンスがC2通信を通常のユーザーアクティビティから区別しにくくなります。
ResokerRATが実行されると、まずCreateMutexW APIを使用して「Global\ResokerSystemMutex」という名前のミューテックスを作成し、マルウェアの単一インスタンスのみがシステムで実行されることを保証します。
次に、IsDebuggerPresentを呼び出してアタッチされたデバッガーを検出し、見つかった場合はカスタム例外処理をトリガーして分析を妨害します。
このマルウェアは、「runas」オプション付きのShellExecuteExを使用して昇格権で自身を再起動しようとします。昇格に失敗した場合は、エラーをログに記録し、C2チャネルを介してオペレーターに失敗を報告します。
ResokerRATはProcess32NextWを使用して実行中のプロセスを列挙し、OpenProcessおよびTerminateProcessを使用してTaskmgr.exe、Procexp.exe、ProcessHacker.exeなどの既知の監視ツールを終了することで、さらに分析を回避します。
さらに、SetWindowsHookExWおよびWH_KEYBOARD_LLフラグを使用してグローバルキーボードフックをインストールします。キーログを行うのではなく、ALT+TAB、ALT+F4、CTRL+SHIFT+ESC、CTRL+ALT+DEL、Windowsキーなどの特定の防御キーの組み合わせをブロックします。
これにより、ユーザーと分析者がタスクを簡単に切り替えたり、ウィンドウを閉じたり、タスクマネージャーを起動したりするのを防ぎます。
ResokerRATがTelegram APIを乗っ取る
報告書によると、ResokerRATはTelegramを経由して配信された単純なテキストベースのコマンドによって制御され、各コマンドは被害者ホスト上の特定の機能にマップされます。
Process32NextWを使用して実行中のプロセスをチェックし、その名前を確認します。特定の監視またはアナリシスツールが検出された場合、マルウェアはOpenProcessを使用してプロセスを開き、TerminateProcessを使用して終了させ、分析を防ぎます。
/screenshotコマンドはマルウェアの隣に「Screenshots」フォルダを作成し、隠しPowerShellルーチンを起動してSystem.Windows.FormsおよびSystem.Drawingを読み込み、CopyFromScreenで全画面をキャプチャしてPNG ファイルとして保存し、視覚的な監視を行います。
/block_taskmgrコマンドはDisableTaskMgr レジストリ値を1に設定してタスクマネージャーを開くのを防ぎ、一方/unblock_taskmgrは0にリセットして通常の動作を復元し、ユーザーの疑いを軽減します。
永続性は/startupコマンドで実現され、HKCU\Software\Microsoft\Windows\CurrentVersion\Runの下にマルウェアパスを「Resoker」の値で書き込み、「スタートアップに追加」確認メッセージを攻撃者に送り返します。
ResokerRATはまた、/uac-minを使用して複数のUAC関連レジストリキーを変更し、Windows セキュリティプロンプトを弱体化させます。ConsentPromptBehaviorAdminを0に設定して昇格プロンプトを抑制し、PromptOnSecureDesktopを0にして保護されたスクリーンをオフにしますが、EnableLUAを1に保つため、UACは有効に見え、再起動を強制しません。
/uac-maxコマンドはこれらの変更を逆転させ、セキュアデスクトップとアドミン プロンプトを再度有効化することで、デフォルトのUAC動作を復元し、UACを正式にはオンのままにします。
/downloadコマンドを通じて、RATは隠しPowerShellダウンローダーを使用して攻撃者が供給するURLから追加ペイロードをローカルの「downloads」フォルダに取得でき、その後ダウンロード成功を検証し、オプションで報告できます。
これにより、オペレーターは既に侵害されたシステム上に第二段階ツールまたはペイロードをステージングする柔軟な方法が提供されます。
TelegramベースのC2およびMITRE マッピング
C2の場合、ResokerRATはハードコードされたTelegram ボットトークンとチャットIDを埋め込むURLを構築し、その後Telegram Bot APIを繰り返しポーリングしてHTTPS経由で新しいコマンドを取得し、結果とログを同じチャネル上で流出させます。
送信前に、マルウェアは暗号化されたアプリケーション層プロトコル全体で確実に配信されるよう、収集したデータをURL エンコードします。
研究者はパケットキャプチャでこのTelegramトラフィックを観察し、アクティブなボットベースのコマンド取得と応答を確認しました。
その動作は、PowerShell実行(T1059.001)スクリーンショットとダウンロード、実行キーの永続性(T1547.001)、アクセストークンまたは特権操作(T1134)、隠しPowerShellを経由した間接的なコマンド実行(T1202)、タスクマネージャーの無効化による防御の阻害(T1562.001)、隠されたウィンドウ(T1564.003)、プロセス検出(T1057)、フック経由の入力キャプチャ(T1056.001)、Telegram への HTTPS 経由のアプリケーション層C2(T1071、T1573)を含む、複数のMITRE ATT&CKテクニックと一致しています。
セキュリティチームは、エンドポイントからの異常なTelegram Bot APIトラフィックを監視し、スタートアップおよびUAC関連のレジストリキーを確認し、信頼できる定期的に更新されたエンドポイント保護をデプロイして、ResokerRATのコンポーネントとPowerShellアクティビティチェーンを検出およびブロックする必要があります。
IOCs
| ハッシュ | ファイル名 | 検出名 |
| 7a1d6c969e34ea61b2ea7a714a56d143 | Resoker.exe | Trojan ( 0001140e1 ) |
翻訳元: https://gbhackers.com/resokerrat-hijacks-telegram-api/
