Microsoftは、リモートアクセス型トロイの木馬(RAT)である「RevengeRAT」について、航空宇宙業界や旅行業界を対象としたスピアフィッシング攻撃に用いられているとして警告を発した。
RevengeRATは「AsyncRAT」という名称でも知られており、巧妙な作りの電子メールによって従業員をだまし、PDF形式に見せかけた添付ファイルを開かせることで拡散している。受信者がこういった添付ファイルを開くと、悪意のあるVisual Basic(VB)ファイルがダウンロードされるようになっている。
セキュリティ企業のMorphisecは最近、複数のRATファミリーを送り込む、洗練されたCrypter-as-a-Serviceを構成する2種類のRATを発見したと米国時間5月7日に報告していた。
Microsoftは、RevengeRAT/AsyncRATを送り込むためのローダーがフィッシングメールによって拡散されているとツイートしている。Morphisecは「Agent Tesla」というRATが用いられる事例も確認している。
Microsoftは「この攻撃キャンペーンでは、実在の組織をかたり、航空や旅行、貨物に関連する事柄をおとりにした電子メールが用いられている。PDFファイルを思わせる添付ファイルには、埋め込みリンク(たいていの場合、正当なウェブサービスを悪用している)が含まれており、悪意あるVBScriptをダウンロードするようになっている。そしてこのVBScriptによってRATのペイロードが送り込まれる」としている。
Morphisecは、同社が以前に発見した、このマルウェアの亜種で使われていたユーザー名から、このCrypterサービスを「Snip3」と命名している。
Snip3は、Windowsサンドボックス内で実行されていることを検出した場合、RATをロードしないように設定されている。なおWindowsサンドボックスは、仮想マシン(VM)を用いてセキュリティ保護を提供するという、Microsoftが2018年に導入したメカニズムであり、ユーザーはこれを利用することで、悪意を持っている可能性のある実行可能ファイルを、ホストOSに影響を与えない安全なサンドボックス(砂場)内で実行できるようになる。
Morphisecは「(攻撃者によって)設定されている場合、PowerShellはスクリプトがMicrosoftサンドボックスや、VMware製品、Oracle VM VirtualBox、Sandboxieの環境内で実行されているかどうかを検出するような機能を提供している」と同報告に記している。
「問題のスクリプトは、これらVM環境のいずれかで実行されていることを検出した場合、RATのペイロードをロードせずに終了する」(Morphisec)
しかし、これらのRATがインストールされた場合、コマンド&コントロール(C2)サーバーへの接続後、pastebin.comなどのテキスト貼り付けサイトからさらなるマルウェアがダウンロードされることになる。
こういったRATは認証情報や、ウェブカメラからの動画や画像、コピー&ペースト時にシステムのクリップボード上にコピーされたものを窃取するという点で、どのようなシステムにとっても危険なマルウェアだといえる。
Microsoftは「RATは、動的ホストサイト上でホストされているC2サーバーに接続し、攻撃者に被害者の情報を知らせた後、UTF-8エンコード方式でコード化されたPowerShellスクリプトとファイルレス技術を利用し、pastebin.comや類似のテキスト貼り付けサイトから、3段階のダウンロードを実行する」とツイートしている。
Microsoftによると、「このトロイの木馬はRegAsmやInstallUtil、RevSvcsといったプロセスにインジェクション攻撃を仕掛けられるようになるまで、コンポーネント群を再実行し続ける」という。認証情報、スクリーンショット、ウェブカメラのデータ、ブラウザーとクリップボードのデータなどを盗むという。
Microsoftは、セキュリティチームがこれらの脅威をネットワークで検知した場合に利用できる高度なハンティングクエリーをGitHubで公開している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
