新しいLodaRAT

ほぼこもセキュリティニュース By Terilogy Worx

LodaRATはRATです。
初めて観測されたのは何年も前のことです。
長い期間にわたって、いろいろと改変されたものが観測されています。
そんなLodaRATですが、また新しいものが出てきています。

  • AutoIt
    LodaRATはAutoItで書かれています。
    AutoItはWindows用プログラムのGUI自動操作機能を主な特徴とするもので、スクリプトとして作成して実行形式にコンパイルすることが可能です。
    AutoItの実行環境があればスクリプトのままで動作しますが、実行形式にしておけばAutoItの実行環境がなくても動作します。

     

  • ソースコード
    LodaRATのソースコードはたぶん公開されていません。
    でも、ソースコードを入手することが可能です。
    AutoItで書かれてコンパイルされたものを入手できれば、それを使ってソースコードを生成することができます。
    このため、改変の意思がある場合、このマルウェアはとても使いやすいものになっています。

     

  • C2との通信
    LodaRATはC2と通信をして動作します。
    そのC2との通信は暗号化の実装を含んでいません。
    このためC2部分についても別の新しいものを作ることは困難ではないものとなっています。

このようにLodaRATはいくつかの面で亜種を作りたい人にとって都合のよいものになっています。
実際、いくつもの亜種がいろいろなところで観測されています。
マルウェア対策プロセスを検出する機構の変更、キーロガー機能の削除、リムーバブルドライブへの自己感染、などが最近観測されている亜種の方向性です。

セキュリティ研究者の立場ではソースコードを入手しやすいことは研究が進めやすいといえますが、これは諸刃の剣です。
LodaRATの人気が再燃してきているのかもしれません。

参考記事(外部リンク):Get a Loda This: LodaRAT meets new friends
blog.talosintelligence.com/get-a-loda-this/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。