独自開発のステルスインプラント:WLDR agent

脅威アクターのひとつである、UAT-11795の脅威活動が確認されています。
一見すると従来の手法で構成された内容であるようにも思われますが、特徴的な部分もわかってきています。
どんな活動なのでしょうか。

  • Web3(Polygonブロックチェーン)を悪用した、テイクダウン不能な「予備の通信インフラ」
    通常、セキュリティ機関はマルウェアが通信するサーバ(C2ドメイン)を特定し、ドメインの差し押さえ(テイクダウン)によってマルウェアを無害化します。
    • 何が新しい?
      UAT-11795は、Polygon(イーサリアム系)のスマートコントラクトをC2サーバの「復旧ポータル」として悪用しています。
    • なぜ脅威か?
      スマートコントラクトは分散型のブロックチェーン上で動いているため、特定の企業や政府機関であってもデータの書き換えや削除、アクセス遮断が不可能です。
      仮にメインのC2サーバをすべてブロック(遮断)されたとしても、マルウェアはスマートコントラクト(暗号化されたJSON-RPCコール経由)から「新しいC2サーバのアドレス」を自動的に取得して復活します。
      「絶対に遮断できないC2フォールバック(予備回線)」を実装している点が、これまでにない最も警戒すべき新しさです。
  • 今回初めて確認された、独自開発のステルスインプラント「WLDR C2」
    一般的な攻撃では、市販(またはリークされた)のツールをそのまま使い回すことが多いですが、今回はこのグループが独自にゼロから設計した専用の潜伏用インプラントが発見されました。
    • 何が新しい?
      「WLDR agent」と呼ばれる、非常に難読化されたPowerShellベースの独自メモリアシスタントを投入しています。
    • なぜ脅威か?
      Starland RAT(Python製)などの「表に立つマルウェア」がセキュリティソフトに検知・駆除されても、このWLDR agentはメモリ(RAM)上だけに存在し、ファイルとしてはディスクに残らないため検知をすり抜けます。
      さらに、独自の「タスク実行エンジン(Runspace)」を備えており、後から別のマルウェア(RemcosやCastleStealerなど)を再びメモリ内に注入・再起動できる「復旧用のマスターキー」として機能し続けます。
  • APIを自前でマッピングして検知を避ける「Starland RAT」の高度な回避設計
    Pythonで書かれたマルウェアは、通常、外部パッケージやライブラリを多く読み込むため、セキュリティソフトにパターン検知されやすいという弱点があります。
    • 何が新しい?
      Starland RATは、Windowsの標準システム機能(API)を使う際、外部インポート処理に頼らず、Pythonのctypes機能を用いて「APIの定義や構造をコード内に直接書き起こして自前でマッピング」しています。
    • なぜ脅威か?
      セキュリティソフトの「不審な外部ライブラリを読み込んでいるか?」という監視網を潜り抜けることができます。
      さらに、サンドボックス(自動解析環境)を検知すると完全に無害なプログラムのように振る舞い、さらに「ブラウザからダウンロードされた形跡があるか(Zone.Identifier)」まで自らチェックして、不自然に直接実行された解析環境での動作を防ぎます。

この脅威情報の本質的な新しさは、「一度侵入した攻撃者をネットワークから完全に追い出すことが、技術的に極めて困難なインフラを構築している点」にあります。

これまでのマルウェア対策は、「怪しい通信先を止めれば攻撃は防げる」「ウイルスを検知して駆除すれば一件落着」という前提で成り立っていました。
しかし、今回のUAT-11795は、

  • 通信先を止めてもブロックチェーンから無限に蘇る
  • マルウェア本体を駆除しても、メモリ内の極小の独自インプラント(WLDR agent)が生き残り、いつでも別のマルウェアを再感染させる

という、「防御側のセオリーが通じない粘着質な設計」を金銭目的の犯罪グループが実用化してきたことが、専門家を驚かせている最大のニュースです。
高度に練りこまれた、非常にいやらしい仕上がりとなっています。

UAT-11795 deploys novel Starland RAT and bespoke WLDR C2 implant in financially motivated campaign
https://blog.talosintelligence.com/uat-11795-deploys-novel-starland-rat-and-bespoke-wldr-c2-implant-in-financially-motivated-campaign/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。