AsyncRATは、.NET Frameworkでビルドされたリモートアクセス型トロイの木馬です。
このマルウェアは、以前から観測されており、2024年頃の活動ではQuick Tunnelsを使って多段階で活動を展開していました。
しかし、時間の経過とともにその戦術を変化させてきています。
どんな方法でやってくるのでしょうか。
- はじまりはフィッシング
まずはフィッシングメールから開始されます。
確認されている例では、請求書と思われる名称の添付ファイルのZIPファイルをダウンロードさせようとするリンクを含むメールとして到着します。
被害者となる人は、このリンクをクリックし、その請求書のようなファイル名のファイルを手元にダウンロードします。
このリンクはDropboxのURLとなっています。 - 展開と実行
何の疑いもなくZIPファイルをダウンロードした人は、その中身を展開します。
展開すると中には「.URL」の拡張子のショートカットファイルが含まれています。
このショートカットファイルの名称も、請求書を連想させるものになっています。
これを見た被害者は、このリンクをダブルクリックします。 - Cloudflareの利用
ショートカットファイルの宛先は、いくつものバリエーションがあるのですが、それらはいずれもCloudflareの無料版サービスのURLとなっています。
先頭部分が異なるものがいくつも確認されていますが、ドメイン名の末尾部分は「~.trycloudflare[.]com」となっています。
このショートカットリンクの先は、悪意のあるスクリプトのダウンロードと実行へと続いていきます。 - マルウェアの展開
リンク先との通信が開始されます。
WebDAVサーバとの通信が開始され、.wsfや.wshなどのWindows Scriptファイル、もしくは、バッチファイルが取り寄せられます。
取り込まれたスクリプトは実行され、ローカルに一時ディレクトリを作成してさらに別のバッチファイルを設置します。
そのバッチが実行されると、さらに別のZIPファイルが入手されます。
そして、そのなかにあるPowerShellコマンドが実行されます。
この動きは最小化した状態で実行されます。
さらに、この動きと並行し、別のバッチも同時に実行されます。
こちらはおとり文書表示用で、請求書のタイトルだった場合には、それに沿った内容のPDF文書を手元で通常ウインドウとして表示します。
全体として考えると、ダウンロードしたリンクを開くと請求書のPDFが表示された、という感じの動作に見える状態を作り出します。
活動はまだ続きます。
さらにZIPに固めたPythonの実行環境がセットになったものを取り込み、それをOS開始時に展開される場所に配置することによってマルウェアの永続化を実現します。
実行されたマルウェアは単体のプロセスとして動作するのではなく、エクスプローラーのプロセスにマルウェア機構をインジェクションする形式で起動されます。
このインジェクションされるマルウェアは、AsyncRATです。 - AsyncRATの活動
設置の完了したAsyncRATは、侵害環境で暗号化された通信をC2と確立し、システム内のデータや入力情報を盗みます。
通常のサービスをいくつも組み合わせて怪しさを感じにくいように仕上げられています。
そして、何段階にもわたって手続きが実行されるように組み立てられており、検出が難しくなっています。
手口の中では二重拡張子のファイル「.pdf.url」を使用しており、環境によってはこれもPDFだと信じてしまいやすくなる原因の一つとなっています。
脅威アクターはあの手この手で忍び寄ります。
いくら注意してもしすぎることはないという感じです。
Analyzing a Multi-Stage AsyncRAT Campaign via Managed Detection and Response
https://www.trendmicro.com/en_us/research/26/a/analyzing-a-a-multi-stage-asyncrat-campaign-via-mdr.html
| この記事をシェア |
|
|---|
