QuimaRAT:知識ゼロで攻撃開始可能で、なおかつ、広いOSをサポート

QuimaRATは、Windows、Linux、macOSの主要な3つのOSを同時に標的とする、Javaベースの新種のリモートアクセストロイの木馬(RAT)です。
サイバー犯罪のアンダーグラウンド(ダークweb)で、月額150ドル〜永久ライセンス1,200ドルの「MaaS(Malware-as-a-Service:サービスとしてのマルウェア)」としてサブスクリプション販売されています。
特徴を見てみましょう。

  • 「標的ごとに自動で姿を変える」ワンストップ・ビルダーの完成度
    これまでのマルチOSマルウェアは、攻撃者が「今回はmacOSを狙うからmacOS用の設定でビルドする」「次はLinux用に…」と個別に書き出すか、手動でスクリプトを調整する必要が多々ありました。
    しかし、QuimaRATのビルダー(生成ツール)は、攻撃者がボタン一つ押すだけで、Windows用の .exe や .vbs、macOS用の .app、Linux用の .sh、さらには共通の .jar など、あらゆる形式の攻撃セットを一斉に自動出力します。
    これにより、攻撃者の技術的ハードルが「ゼロ」になり、複数のOSが混在する企業ネットワークを同時に、かつ極めて効率的に攻撃できるようになりました。
  • 「クロスプラットフォーム」と「OS固有の高度な隠蔽」のハイブリッド
    一般的に、Javaのように「どこでも動く(クロスプラットフォーム)」マルウェアは、OSごとの深いシステム領域(レジストリや特殊な永続化処理)を操作するのが苦手という弱点がありました。
    QuimaRATの新しい点は、Javaで書かれているにもかかわらず、各OSのネイティブAPIを直接叩くライブラリ(JNA)を大量に内蔵している点です。
    被害者のOSを自動判別したあと、次のように、「共通コードで動きつつ、各OSに特化した最高精度の隠蔽・常駐工作を自動で行う」という器用さを備えています。
    • Windows:Windows SmartScreenを回避するためにブラウザキャッシュを悪用し、レジストリに常駐する
    • macOS/Linux:それぞれのOS固有の自動起動仕組み(LaunchAgentsやcron等)を構築する
  • メモリ上だけで完結する「モジュール(プラグイン)型」の徹底
    これまでの多くのMaaSによるマルウェアは、機能を追加する際にファイル(追加機能)をハードディスクにダウンロードさせるため、そこでセキュリティソフト(EDRなど)に見つかるリスクが高まりました。
    QuimaRATは、本体を限界まで小さく作り、感染後は暗号化されたJavaプラグインをC2サーバから直接「メモリ上(RAM)」に読み込ませて実行します。
    ディスクにファイルを書き込まない(Fileless)ため、Windows、macOS、LinuxのいずれのOSであっても、従来のファイルスキャン型のウイルス対策ソフトでは検知が極めて困難になります。

「複数のOSを狙える」というコンセプト自体は過去にもありましたが、QuimaRATの新しい点は、「Windows、macOS、Linuxのどれに感染しても、そのOSに最適化された最凶の隠蔽・常駐テクニックを、ハッカー側の専門知識を一切必要とせずにフルオート(サブスクのパッケージ機能)で実行できるレベルに達したこと」です。
MaaSとしての洗練度が一段上がった(=誰でも簡単に高度なマルチOS攻撃ができるようになった)点が、セキュリティ業界でニュースとなった最大の理由です。
多くのセキュリティ対策提供組織がこの脅威についての続報を提供しています。
まさに買うだけで使えるQuimaRATの登場です。

Novel Java-Based QuimaRAT Targets Windows, macOS, and Linux
https://www.levelblue.com/blogs/spiderlabs-blog/novel-java-based-quimarat-targets-windows-macos-and-linux

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。