STX RATと呼ばれる隠密性の高い新しいリモートアクセストロージャンは、隠されたリモートデスクトップ制御と強力なインフォスティーラー機能を融合させ、高度な回避と暗号化技術を使用してセキュリティツールのレーダーから逃れています。
オペレータは機会的な初期アクセスに依存し、悪意あるVBScriptとコアペイロードとPowerShellローダーを含むTARアーカイブをダウンロードするJScriptチェーンを使用しています。
PowerShellスクリプトは埋め込まれたSTX RAT バイナリを反転およびBase64デコードし、読み取り・書き込み・実行メモリを割り当て、復号化されたペイロードをPowerShellプロセスに直接注入し、最終的な実行可能ファイルをディスクに書き込むことを回避します。
eSentireの脅威対応ユニット(TRU)は2026年2月下旬にSTX RATを初めて観察し、金融サービス機関への侵入の試みの際に発見しました。その後、Malwarebytesからの報告では、トロージャン化されたインストーラーを配布する偽のFileZillaダウンロードサイトに関連付けられています。
VBScriptはJScriptコンテンツを連結し、ディスク上のJScriptファイルに書き込み、昇格した権限を持つWScriptを経由してJScriptファイルを実行します。
STX RAT自体は「init」と「run」のみを公開するカスタムパッカーで保護され、XXTEA復号化とZlib解凍を使用してメインペイロードを解凍し、静的検出をさらに複雑にします。
ネットワーク上では、STX RATは独自のTCPプロトコルとよく設計された暗号スタックを使用しています。X25519楕円曲線ディフィ・ヘルマン(ECDH)を実行してセッションごとの共有秘密を導出し、埋め込まれたEd25519鍵を使用してC2の公開鍵を検証し、その後すべてのトラフィックをChaCha20-Poly1305で暗号化して機密性と整合性を確保します。
すべてのメッセージは長さプレフィックス付きであり、トラフィックが簡単に署名できるHTTPパターンではなく、TCP上の一般的な暗号化されたブロブとして見える点が特徴です。
分析を妨害するために、マルウェアは複数の文字列難読化スキーム(ローリングXORとAES-128-CTR)を層状に配置し、平文のインポートの代わりに塩漬けSHA-1ハッシュ経由でWindows APIを解決します。
これは広範なアンチVM およびアンチ分析チェックを実行し、VirtualBox、VMware、QEMUアーティファクトをスキャンし、PEB BeingDebuggingフラグを検査し、PowerShellまたはMSBuildの内部でのみ実行されるように見えることを主張し、より一般的な分析ローダーの下で起動された場合は終了します。
STX RATの注目すべき機能の1つは、Hidden VNC(HVNC)スタイルのリモートデスクトップ機能であり、攻撃者が被害者ホスト上の「隠された」デスクトップ環境と相互作用できるようにします。
マルウェア分析はデバッガを経由して行われます。マルウェアは分析プロセスでディスクにダンプされることが多く、rundll32またはカスタムローダーを経由して実行されます。
マルウェアは「starthvnc」、「keypress」、「mouseinput」、「mousewheel」、「switchdesktop」などのコマンドをサポートし、SendInput APIを経由してキーボードとマウスイベントを注入し、オペレータが目に見えるウィンドウやユーザーの認識なしにシステムを制御できるようにします。
STX RATは完全な機能を持つインフォスティーラーとして機能しますが、データの盗み出しはC2からの明示的なコマンドを受け取った後にのみ有効化され、サンドボックスと C2インフラストラクチャがオフラインの場合における観察可能な動作を削減します。
指示されると(通常は導入メッセージ「intro」に続く「getcreds」コマンド経由で)、Firefox、SeaMonkey、Chromiumベースのブラウザからブラウザクッキーとパスワード、Windows Vault認証情報、FTPクライアントのシークレット(FileZillaとWinSCPを含む)、およびLitecoin-QtとElectrumなどのデスクトップ暗号化ウォレットを収集します。
認証情報を流出させる前に、マルウェアはGDI BitBltを使用して被害者のデスクトップのスクリーンショットを取得し、Base64エンコードされたJPEGとして送信し、侵害されたシステムについての視覚的なコンテキストをオペレータに提供します。
STX RATはローダーとしても機能し、C2が供給するペイロードを複数のフォーマットEXE/BIN、リフレクティブDLL、生シェルコード、PowerShellスクリプトで受け入れ、メモリ内で実行することができます。ハイジャックされたSTDINパイプを経由した完全にファイルレスのPowerShellを含みます。
永続化と防御的ガイダンス
永続化を維持するために、STX RATは難読化されたPowerShellローダーを起動するHKCU Runキー、復号化されたペイロードをメモリ内で実行するMSBuildベースのプロジェクト悪用、悪意あるスクリプトレット経由のCOMオブジェクトハイジャックなど複数のテクニックを活用し、最終的に自動実行スクリプトを再度呼び出します。
マルウェアはWinsockを経由したTCPソケット上でC2サーバーと通信し、ECDH(楕円曲線ディフィ・ヘルマン)鍵交換を使用してC2トラフィックを保護します。
また、プロセスおよびドライバー名でセキュリティ製品を列挙し、インストールされているAVソリューションのリストを作成して初期ビーコンでC2に報告します。
TRUはSTX RATを低可視性だが成熟した脅威と評価し、最新の暗号化、サンドボックス回避、隠されたリモートデスクトップ制御、段階的なインフォスティーリングを融合させて従来の防御を迂回します。
防御者はスクリプト実行を強化し(たとえば、VBS、JS、HTAなどのリスクのある拡張機能を転送し、可能な場合はwscriptを無効化し)、堅牢なNGAV/EDRを配備し、STX RATまたは類似のマルチステージローダーが環境で検出される場合のホストを迅速に分離するために24×7マネージド検出と対応を検討することをお勧めします。
翻訳元: https://gbhackers.com/stx-rat-hides-remote-desktop/
