以前は記録されていないリモートアクセストロイの木馬(RAT)であるSTX RATが、2026年2月下旬に金融サービス環境での展開の試みに続いて特定されました。
eSentireの脅威対応ユニットによって追跡されているこのマルウェアは、コマンド・アンド・コントロール(C2)トラフィックに関連する特徴的な通信マーカーを使用し、高度な技術的洗練さを示しています。
研究者らは、このマルウェアが初期アクセスを獲得するために、ブラウザダウンロードスクリプトやトロイ化されたインストーラーなどの日和見的な配信方法に依存していると述べています。
高度な配信と実行チェーン
STX RATは、権限をエスカレートし、従来のファイルベースの検出を回避しながら、メモリ内で直接ペイロードを実行するマルチステージスクリプトを通じて配信されます。観察された1つのケースでは、VBScriptファイルがJScriptコンポーネントを生成して起動し、その後、メインペイロードとPowerShellローダーを含む圧縮アーカイブを取得しました。
主な特徴は以下の通りです:
-
XXTEA暗号化とZlib圧縮を使用したマルチステージアンパッキング
-
PowerShellとリフレクティブローディング技術を介したメモリ内実行
-
レジストリベースの自動実行とCOMハイジャッキングを含む複数の永続化メカニズム
STX RATの定義的な機能は、その暗号化された通信プロトコルです。感染したシステムと攻撃インフラ間のデータ交換を保護するために最新の暗号化方法を使用し、傍受と分析をより困難にします。
このマルウェアは、コマンドサーバから明示的な指示を受け取るまで、その認証情報盗聴機能を遅延させます。これにより、自動化された分析中に検出可能な動作が削減されます。
防御回避は広範です。STX RATは仮想環境をスキャンし、分析が疑われた場合は実行を終了し、レイヤード暗号化技術を使用して内部文字列を難読化します。
広範な監視とコントロール機能
アクティブになると、このマルウェアは攻撃者が隠された仮想デスクトップを通じて感染したマシンをリモートコントロールできるようにします。この機能により、ユーザーの認識なしにアクションを実行することができます。
その機能はブラウザ、FTPクライアント、暗号通貨ウォレットから機密情報を収集することまで拡張しています。また、追加のペイロードを実行し、ネットワークトンネルを作成し、ユーザー入力をシミュレートすることもできます。
リモートアクセストロイの木馬についてもっと読む:ハッカーがAxios npmパッケージをハイジャックしてRATを拡散
コマンド構造は、認証情報抽出から完全なシステム相互作用まで、幅広いエクスプロイト後のアクションをサポートしています。eSentireは、そのデザインが継続的な開発を示唆しており、一部の機能がまだ完全に動作していないことに注意しました。
研究者らは、チームが脅威を抑え込むために影響を受けたシステムを隔離し、関連するアクティビティの監視を続けていると述べています。また、同社は組織に対してエンドポイント保護を強化し、初期侵害に一般的に使用されるスクリプトベースの攻撃への露出を制限することを促しています。
翻訳元: https://www.infosecurity-magazine.com/news/stx-rat-targets-finance-sector/
