記事本文(要約)
世界中でフィッシングメールを介して新しい高度なリモートアクセス型トロイの木馬「Resolver RAT」が拡散されています。Morphisecが観察したキャンペーンでは、過去に人気のあった情報窃取ツールが使われたのと同様の手法で、最終的なペイロードをResolver RATに置き換えています。Resolver RATは高度な検出回避機能を持ち、解析を困難にする多層的なメカニズムが特徴です。
特に、医療や製薬部門の国際組織を対象としたフィッシングキャンペーンが報告されており、被害者はハイハイソフトPDFリーダーの脆弱性を悪用され、Resolver RATを密輸されます。
同タイプの攻撃は過去にも記録されていますが、今回のキャンペーンでは最終ペイロードとしてResolver RATが使用され、これまでの手法とは異なる点が確認されています。Resolver RATはメモリ内のみで動作し、カスタムプロトコルを使用して通常のトラフィックに紛れ込むことで検出を回避。また、コード実行時にのみテキストを展開する方式や、複雑なステートマシンを使用した暗号化など、高度な技術で解析を困難にしています。
Resolver RATは持続性確保のため、Windows Registryに多数のエントリを作成し、自身を複製することでシステム内に留まることを可能にします。組織は、Resolver RATの感染指標(IoC)を直ちにサイバー防御システムに追加することを推奨します。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 14 Apr 2025 14:53:31 GMT
Original URL: https://www.darkreading.com/cloud-security/it-rat-stealthy-resolver-malware
詳細な技術情報
- 脆弱性の仕組み
- Resolver RATは、以下のような脆弱性を利用して攻撃を行います。
- DLLハイジャッキング(サイドローディング): 正規のHaihaisoft PDF Reader(hpreader.exe)の脆弱性を利用して、マルウェアをロードします。
- メモリ上での実行: ディスク上に明示的な痕跡を残さず、メモリ上でプログラムが実行されることで検出を回避します。
- カスタムプロトコルの使用: 通信を通常のネットワークトラフィックに紛れさせるために、標準ポート上でカスタムプロトコルを使用します。
- Resolver RATは、以下のような脆弱性を利用して攻撃を行います。
- 攻撃手法
- 1. フィッシングメール: 標的の国の言語で、著作権侵害を装う緊急性を持たせたメールを送信し、受信者が開封するよう誘導します。
- 2. DLLサイドローディング: 脆弱なPDFリーダーを使用してDLLをサイドロードし、マルウェアを実行します。
- 3. 持続性確保: Windowsのレジストリや複数のディレクトリに自己コピーを作成し、システム再起動後も存続するよう設計されています。
- 潜在的な影響
- データ漏洩: 機密情報の収集と外部への流出。
- システムの侵害: 感染したシステムを攻撃者の管理下に置くことが可能となり、さらなる攻撃の拠点となるリスク。
- ネットワーク全体への感染拡大: 他のシステムへのマルウェアの媒介となるおそれ。
- 推奨される対策
- 1. フィッシングメールへの注意: 教育プログラムを通じて、フィッシングの手口やその識別方法を啓発します。
- 2. セキュリティソフトウェアの更新: シグネチャを最新に保ち、あらゆるIoC(Indicator of Compromise)を検出可能にします。
- 3. 脆弱なソフトウェアの更新/削除: 利用されているPDFリーダーのような脆弱なアプリケーションを最新バージョンに更新するか、安全な代替ソフトウェアへ移行します。
- 4. ネットワーク監視: 不審な通信や異常がないか、ネットワークトラフィックを監視します。
- 5. アクセス制御とログ監視: 不正なアクセスを検出するために、アクセスログの定期的な監査を実施します。
- 結論
- Resolver RATは多様な回避戦術を備え、以前のインフォスチーラーに取って代わる可能性を持つ高度な脅威です。特に、フィッシングメールの手口やサイドローディング技術に重点を置いた防御戦略が必要です。
