記事本文(要約)
ロシアの企業が、PureRATというマルウェアを配布するフィッシング攻撃の標的になっています。カスペルスキーによると、このキャンペーンは2023年3月に始まり、2025年初めには攻撃件数が前年の4倍に増えました。この攻撃は特定の脅威アクターによるものでなく、Microsoft WordやPDFに偽装されたRARファイルを含むフィッシングメールから始まります。
このRARファイル内の実行ファイルが起動すると、Windowsの%AppData%に「task.exe」として自分をコピーし、スタートアップフォルダに「Task.vbs」を作成します。その後、「ckcfb.exe」を展開し、システムユーティリティ「InstallUtil.exe」を通じてC2サーバーとSSL接続を確立し、システム情報を送信します。
その結果、C2サーバーは、多種多様な悪意ある動作を行う補助モジュールを送信します。これには、自ら削除したり再起動したりする「PluginPcOption」、クリップボードの暗号通貨アドレスを攻撃者のものに置き換える「PluginClipper」などが含まれます。また、実行ファイル「StilKrip.exe」は別のペイロードをダウンロードし、情報を盗むPureLogsマルウェアを起動します。
この攻撃は、メールに添付された悪意あるファイルやリンクが主な突破口です。PureRATとPureLogsは、感染したシステムと機密データへの無制限のアクセスを攻撃者に与えてしまいます。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 21 May 2025 18:40:00 +0530
Original URL: https://thehackernews.com/2025/05/purerat-malware-spikes-4x-in-2025.html
詳細な技術情報
この文章は、Kasperskyによるロシアの組織を狙ったフィッシングキャンペーンについての報告です。このキャンペーンでは「PureRAT」というマルウェアが配布されており、その詳細が説明されています。以下に、重要なセキュリティ情報について詳しく説明します。
CVE番号
本文には具体的なCVE番号が記載されていません。PureRATに関連する既知のCVEが存在するかどうかの確認が必要です。
脆弱性の仕組み
この攻撃は、フィッシングメールを利用して標的に感染ファイルを送り付けることから始まります。メールにはRARファイルが添付されており、それがMicrosoft WordやPDFのドキュメントを装っています。ユーザーが誤ってこのRARファイルを開くと、悪意ある実行ファイルが%AppData%にコピーされ、システムに常駐するようになります。
攻撃手法
- フィッシングメール: ダブル拡張子(例:
doc_054_[redacted].pdf.rar)を使用して、誤ってユーザーがアーカイブ内の実行ファイルを開くように誘導します。 - 悪意あるスクリプトとペイロードの展開: アーカイブ内の実行ファイルが起動されると、様々なペイロードが展開され、「ckcfb.exe」を経由してメインのPureRATマルウェアが実行されます。
- 情報の窃取と不正指令の実行: PureRATはC2サーバーと通信を行い、システム情報を送信し、さまざまな悪意あるプラグインを実行します。
- PureLogsの使用: さらに情報を収集するため、「PureLogs」と呼ばれる情報スティーラーが使用されます。
潜在的な影響
- 機密データの漏えい: PureRATとPureLogsによって、企業の機密情報、パスワード、暗号通貨ウォレット情報などが攻撃者により窃取されます。
- システムの不正操作: 攻撃者はリモートでコンピュータを制御する能力を得て、システムの完全な権限を握ります。
- 金銭的被害: 不正な資金移動や、暗号通貨のウォレットアドレスのすり替えによる金銭的被害が発生します。
推奨される対策
- メールフィルタリングの強化: ダブル拡張子や未知の送信者からのメールをブロックするフィルタリングを導入します。
- セキュリティ教育の実施: フィッシング攻撃の手口を学び、疑わしいメールや添付ファイルを開かないように従業員を教育します。
- マルウェア対策ソフトの導入と更新: 信頼性の高いアンチウイルスソフトウェアを用い、常に最新の状態に保ちます。
- 脆弱性の定期的な評価と修正: 組織のシステムの脆弱性を定期的に評価し、必要に応じて迅速に修正します。
- ネットワーク監視とログ管理: 異常なネットワーク活動や不審なログイン試行を監視し、迅速に対応可能な体制を整えます。
