便利なものはあなた以外にとっても便利

MSBuild使ってますか?
MicrosoftのVisual Studioを使ってる人の多くは使っているかもしれません。
MSBuildは開発作業の自動化ツールです。開発物のコンパイルなどの手順をXMLで記述した設定ファイルによって自動化できるものになっています。
よくVisual Studioと一緒に使われたりします。
Makefileのようなものなんだけど、もう少し簡単で、もう少し痒い所に手が届くものとおもってもらって差し支えないと思います。
少し違うかもですが。

もう、なんか、想像できちゃいますよね。
はい、そうです、そのMSBuildが犯罪者さんにとっても便利なことに気が付いてしまいました。
XMLで仕込みをしておきます。
その後、正規の利用者が開発行為の中で開発物のbuildを実施します。
そのタイミングで、ファイルレス攻撃の段取りをMSBuildで行う、というわけです。

MSBuildを使うタイミングは正規の利用者のタイミングなので怪しくないです。
また、そもそもとしてMSBuildはそういうものなので、動作時にいろいろなファイルを読み込んだりするような動きをします。
まさしく「It’s like looking for a needle in a haystack.」な感じがしますよね。

今回観測されている犯罪では、この手法でRemcos RATやQuasar RATやRedLine stealerがファイルレスで展開されています。
Remcosはリモートコントロール機能のあるものでBreaking Securityが販売しています。
Breaking Securityって社名もどうかと思います。
Quasar RATはGitHubで無料で手に入ります。
Quasar RATは.NET FrameworkベースのオープンソースRATです。
RedLine stealerはその名の通り情報盗用ツールです。パスワードなどを持っていかれます。

怖いですね。
これらのことは、1つのXMLを手元に置かれてしまうだけで成り立ってしまいそうです。
注意一秒怪我一生という感じです。
アンチウイルスのソリューションだけではカバーできない感じがします。
注意していきましょう。

参考記事(外部リンク):MSBuild tool used to deliver RATs filelessly
securityaffairs.co/wordpress/117969/malware/msbuild-delivers-rat.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。