Source: https://www.darkreading.com/cyberattacks-data-breaches/mostererat-blocks-security-tools
🛡 概要
最近、Fortinetの研究者たちが追跡しているマルウェア「MostereRAT」が、巧妙なフィッシングキャンペーンの一環として利用されています。このマルウェアは、銀行型マルウェアからリモートアクセス型トロイの木馬(RAT)に進化し、被害者のシステム上で長期的なコントロールを可能にします。特に、Microsoft Windowsユーザーが日本でターゲットにされており、攻撃者は正常なIT活動に溶け込むことで悪意のある活動を隠しています。このキャンペーンは、セキュリティツールの無効化と悪意のある活動の隠蔽を特徴としており、非常に危険な状況を生み出しています。
🔍 技術詳細
MostereRATは、Easy Programming Language(EPL)というあまり知られていないプログラミング言語でモジュールが記述されています。この言語の使用は、セキュリティツールがマルウェアを検出・分析するのを難しくするための戦略的な選択です。Fortinetによると、マルウェアは二つの主要なモジュールで構成されており、一つは持続性や特権昇格、AV回避、ペイロードの展開を担当し、もう一つはRAT機能を提供します。CVEやCVSSに関する情報は現時点では確認されていませんが、MostereRATは「TrustedInstaller」として動作する能力を持ち、システムファイルやセキュリティ設定を変更する権限を獲得します。また、AnyDeskやTightVNCといった正当なリモートアクセスツールを展開し、攻撃者に完全なリモートコントロールを提供します。
⚠ 影響
このマルウェアの影響は深刻で、攻撃者はキーストロークを記録し、機密データを抽出し、隠れた管理者アカウントを作成することができます。また、MostereRATは多くのAVおよびEDR製品のインストールパスをハードコーディングしており、検出を回避するためにこれらの製品を無効化します。このような手法は、EDRソリューションによって悪意のあるものとして検出される可能性が低いため、特に危険です。攻撃者は、ローカル管理者権限を持つユーザーをターゲットにし、セキュリティ制御を操作するために特権昇格を利用します。
🛠 対策
MostereRATへの対策としては、まずローカル管理者権限を削除することが重要です。これにより、攻撃面を大幅に減少させ、マルウェア感染の影響を制限できます。また、未承認のリモートアクセスツールの使用を監視し、可能であればブロックすることも推奨されます。特に、簡単にダウンロードできるツールは攻撃者によって利用される可能性が高いため、注意が必要です。組織は、ユーザーの権限を管理し、適切なセキュリティ対策を講じることで、MostereRATの脅威に対抗することができます。
