サイバーセキュリティ研究者が、新たに発見されたWindows遠隔アクセストロイの詳細を公開しました。広く信頼されているメッセージングプラットフォームを悪用することで、マルウェアは悪質なネットワークトラフィックを効果的に隠蔽し、従来のセキュリティ防御を回避します。
この高度な手法により、サイバー犯罪者は識別可能なインフラストラクチャに頼ることなく、遠隔から感染したシステムを秘密裏に監視し、包括的に制御することができます。
被害者が誤って感染したファイルを実行すると、ResokerRATは即座に堅牢な内部防御を確立し、その生存を確保します。
最初の動作は、「Global\ResokerSystemMutex」というラベルの付いたミューテックスとして知られるシステムマーカーを確立することです。この組み込みマーカーは、いつでもコンピュータ上でマルウェアの1つのインスタンスのみが実行されることを保証するための重要なチェックとして機能します。
マルウェアはオペレーティングシステムを積極的にスキャンして、セキュリティ研究者がその基盤となるコードを分析しているかどうかを検出します。
特定のWindows API関数に依存して、デバッグ環境がプロセスに現在接続されているかどうかを確認します。接続されたデバッグツールを検出した場合、真の悪質な動作を隠蔽し、さらなる分析を停止するカスタムロジックを即座にトリガーします。
ResokerRATの中核的な運用の強みは、Telegramメッセージングプラットフォームを通じた多目的なリモートコマンド実行にあります。
マルウェアは、ハードコードされたボットトークンと一意のチャット識別子を使用して、特定のWebアドレスを安全に構築します。この暗号化された接続を常にポーリングし、リモート攻撃者から送信された新しいコマンドを受け取り、即座に実行するのを待っています。
システム再起動全体での長期的な生存のために、トロイは「/startup」コマンドを処理することで永続的なアクセスを確立します。
Windows Runレジストリキーに実行パスをシームレスに追加し、コンピュータが起動するたびに自動的に起動することを保証します。
このタスクが正常に完了すると、マルウェアはスタートアップフォルダに追加されたことを示す正確な確認メッセージを送信します。
攻撃者はアクティブなチャットインターフェースを通じて「/screenshot」コマンドを発行することで、被害者を広範囲に監視できます。このコマンドは、被害者の現在の画面の高品質な画像をサイレントにキャプチャする隠しPowerShellスクリプトを即座に実行します。
キャプチャされた視覚データは、その後、新しく作成されたフォルダに保存され、その後オペレーターに送り返されます。
「/download」コマンドは、侵害されたコンピュータにインターネットサーバーから追加の悪質なペイロードをサイレントに取得させます。
k7 Computingマルウェアは、提供されたWebリンクと目的のファイル名を体系的に使用してローカルストレージパスを自動的に構築します。他の特定のコマンドにより、攻撃者はWindowsレジストリを動的に変更してタスクマネージャーを即座にブロックまたはブロック解除できます。
攻撃者は、「/uac-min」と「/uac-max」などの特殊化されたコマンドを使用してユーザーアカウント制御設定を変更することにより、感染したシステムをさらに侵害できます。
最小設定は、セキュリティプロンプトを完全に消音し、セキュアデスクトップ画面の薄暗い効果を即座に無効にします。
対照的に、最大設定はこれらの保護を復元します。収集したシステムデータまたは確認ログを送信する前に、ResokerRATは確実な配信を保証するために機密情報を慎重にエンコードします。
翻訳元: https://cyberpress.org/resokerrat-hijacks-windows-via-telegram/