MostereRATはリモートアクセストロイ型マルウェアです。
このマルウェアは以前から観測されていました。
そして、従来はバンキング型トロイだったのですが、時間の経過とともに変化し、現在ではリモートアクセストロイとなっています。
どのようなものなのでしょうか。
- メールから始まる
始まりはメールです。
企業からの連絡であるかのように装われたメールが脅威アクターから送られてきます。
そして、巧みな文章でメールにあるURLをクリックさせようとします。 - ファイルのダウンロード
メールにあるURLをクリックすると、ダウンロードリンクのあるWebサイトが表示されます。
ダウンロードリンクをクリックしなくても、ダウンロードは自動的に開始されます。 - ファイルを開く
脅威アクターは次の手続きを指示します。
前の手順でダウンロードされたのは、Word文書です。
そして、その文書を開くと、文書にZIPファイルが添付された状態であることが確認できます。
指示通りにZIPファイルを開くと、そのZIPファイルには実行ファイルが含まれていて、これを実行することでMostereRATが実行されます。 - MostereRATの検出回避機能
MostereRATには多くの検出回避機能が実装されています。
Windowsのセキュリティメカニズムを無効化します。
それに加えて、ハードコードされたセキュリティプログラムのリストに関連付けられたネットワークトラフィックをブロックします。
セキュリティプログラムが収集したマルウェア検出のための兆候情報を連携する外部の解析システムに送信する通信を阻害します。
これにより、検出を免れるという作戦です。
そして、このマルウェアはTrustedInstallerの形式になっているため、システム権限でシステムを操作することができるようになっています。 - MostereRATのコマンド実行機能
悪事そのものを実行する機能も搭載されています。
被害者のホストの詳細情報を収集したり、DLLやEPKやEXEファイルを実行したり、シェルコードをロードしたり、ファイルを読み取り/書き込み/削除したりできます。
さらに、Early Bird Injectionを使用してEXEファイルをダウンロードしてsvchost.exeに挿入することもできますし、ユーザ情報を列挙したり、スクリーンショットをキャプチャしたり、RDPでログインしたりできます。
おまけに、非表示のユーザを作成して管理者グループに追加したりすることもできます。
活動を開始されてしまうと面倒なことになります。
このマルウェアの活動のターゲットには、すでに日本も含まれています。
この脅威キャンペーンで使用される、よく練られた日本語のフィッシングメールも確認されています。
どこかの遠い国での話ではありません。
すぐ近くにある脅威です。
システムの脆弱性を悪用するのではなく、人の弱さを狙う精巧に仕立てられたソーシャルエンジニアリングで攻撃を仕掛けてきます。
注意していきましょう。
MostereRAT Deployed AnyDesk/TightVNC for Covert Full Access
https://www.fortinet.com/blog/threat-research/mostererat-deployed-anydesk-tightvnc-for-covert-full-access
| この記事をシェア |
|
|---|
