Quick Tunnelsを使うAsyncRAT

AsyncRATは .NET Frameworkでビルドされたリモートアクセス型トロイの木馬です。
このマルウェアは、Quick Tunnelsを使って多段階で活動を展開します。
どんな方法でやってくるのでしょうか。

  • HTML
    最初の段階は、悪意あるHTMLドキュメントから始まります。
    HTMLには、特定のリモートロケーションからペイロードをダウンロードするための機構が用意されていて、これを悪用します。
    この機能を使用して、LNKファイルを勝手にダウンロードします。
    このダウンロードには、Cloudflareが無償で提供しているQuick Tunnelsが使用されます。
  • LNK
    次の活動はLNKファイルです。
    侵害環境に取り込まれたLNKファイルをその環境の利用者がクリックします。
    そうすると、いよいよ感染活動が開始されます。
    PowerShellが起動し、さきほどと同じQuick TunnelsからBATファイルがダウンロードされます。
  • BAT
    次にBATファイルです。
    このBATは高度に難読化されており、PowerShellを呼び出して別のバッチファイルとPythonパッケージをダウンロードします。
    これらは攻撃ツールなのですが、それと一緒に無害なPDFもダウンロードして、これを画面に表示します。
    これにより、先ほどのLNKファイルを開くと、PDFが表示されたような感じになります。
  • Pythonスクリプト
    侵害環境で動作を開始したPythonスクリプトはAsyncRATシェルコードを正規のプロセスのnotepad.exeに挿入します。
    そして、永続化の仕組みも取り込んで設置します。

設置の完了したAsyncRATは、侵害環境で暗号化された通信をC2と確立し、システム内のデータや入力情報を盗みます。

Quick TunnelsはCloudflareのサービスで「trycloudflare.com」で提供されています。
これは、名前の示す通り、トンネルとして動作させることができるものになっています。
ngrokなどのようにローカルに立てたサーバをインターネット側からアクセスできるようにする目的で使用することができます。
こういったものが無償で利用できるようになっているのは、わかって利用する分には便利でよいのですが、使用するのはそのシステムの正規の利用者だけとは限らないということです。
脅威アクターもこういった便利なツールを使う方法を考えてきます。
検出の困難な脅威活動が次々に生まれてきています。

Tweaking AsyncRAT: Attackers Using Python and TryCloudflare to Deploy Malware

https://www.forcepoint.com/blog/x-labs/asyncrat-python-trycloudflare-malware

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。