Discord-RAT-2.0は、コンパクトなC#ベースのリモートハッキングツールです。
GitHubで公開されています。
GitHubのREADME.mdでは「Remote Administration Tool」であると謳われています。
そして「This tool is for educational use only」とも書かれています。
作者の真意はわかりませんが、公開された文書やソースコードは実に明快です。
コードは改変の必要なく意図動作しますし、ドキュメントも整備されていますので、どのように利用することができるのかも把握することが簡単です。
C#で実装されたプログラムなのですが、ご丁寧にコンパイル済みのバイナリも同じくGitHubのリポジトリ上で配布されています。
これがあることを知っている人であれば誰でも、簡単に利用することができます。
利用に際して専門的な知識は必要ありません。
便利なリモート管理用のツールは、利用者の気持ち次第で効能が悪意あるツールへと変化します。
実際に悪意を持って配布されている例が見つかってしまっています。
こんな展開をされていました。
- 攻撃者はNPMパッケージを公開する
Discord-RAT-2.0を知り、それを悪用しようとした人の一人が、NPMパッケージを公開しました。 - パッケージ名はタイポ
後を絶たない簡単な手法ですが、効果は絶大です。
タイポです。
今回狙われたのは「node-hide-console-window」です。
元の「node-hide-console-window」はコンソールウィンドウの表示状態を操作する機能を持つものです。
アプリを作成しているときに利用したくなる類の効能を持つモジュールですので、検索されて入手されることが多そうです。
そしてアクターが用意したものは「node-hide-console-windows」でした。
最後に「s」が追加されている以外は、同じ名前になっています。 - 被害者が「node-hide-console-windows」にたどり着く
不幸にも「node-hide-console-window」を入手しようとした人のうちの一部の人が「node-hide-console-windows」にたどり着いてしまっています。
たどり着いた人のなかのそのまた一部の人はこれを入手しています。
今回「s」のついたほうを入手してしまった人は700人でした。
このモジュールは短期間しか公開されていなかったのですが、それでもこの状況です。 - 「s」付きのモジュールを動作させる
「s」付きのモジュールが動作すると、Discord-RAT-2.0のコンパイル済バイナリが実行環境にダウンロードされます。
設置は簡単です。バイナリを実行するだけで準備は完了します。
設置されたDiscord-RAT-2.0は、攻撃者からのコマンドの待ち受け状態となります。 - 被害環境を操作する
設置が終わったDiscord-RAT-2.0は強力です。
様々な機能を提供します。
情報の抽出、Windows Defenderとファイアウォールの無効化、プロセスの強制終了、被害者のマウスとキーボードの使用のブロック、感染したデバイスのシャットダウン、ブルースクリーンにする、などの操作が可能になります。
「!password」なんていうコマンドもあります。
このコマンドの説明にはこうあります。
「grab all passwords」
ぞっとします。
攻撃の実施はどんどん簡単になってきています。
専門的な知識がなくても、無償で強力な攻撃ツールを入手して利用することができます。
この攻撃には脆弱性の悪用などは何もありません。
被害者が意図しないものを実行した結果なのです。
対策は注意するということしかなさそうに思えます。
参考記事(外部リンク):Typosquatting campaign delivers r77 rootkit via npm
www.reversinglabs.com/blog/r77-rootkit-typosquatting-npm-threat-research
| この記事をシェア |
|
|---|
![APIキーや認証情報といった機密情報を<br>管理・保管するためのベストプラクティス<br>[クイックリファレンス(PDF形式)付き]](https://constella-sec.jp/wp-content/uploads/2021/10/20W22-BLOG-Banner-BestPractices-Final@2x.png)
