記事本文(要約)
新たなリモートアクセス型トロイの木馬(RAT)である「ResolverRAT」が、医療や製薬業界を標的にした攻撃で用いられていることが判明しました。このマルウェアは、ターゲット国の言語に合わせた法的または著作権侵害を示唆するフィッシングメールを通じて配布されます。メールには正当な実行ファイルへのリンクが含まれており、これを利用してResolverRATがメモリに反射型DLLローディングで注入されます。この未発表のマルウェアはMorphisecによって発見され、他のレポートで取り上げられていたRhadamanthysやLummaとは異なるペイロードであることが強調されています。
ResolverRATはメモリ内で完全に動作し、.NETの「ResourceResolve」イベントを悪用してAPI呼び出しを避け、セキュリティ監視を回避します。また、複雑なステートマシンを使用して制御フローを難読化し、解析を困難にします。持続性を確保するために、最大20か所のWindowsレジストリにXORで難読化されたキーを追加し、ファイルシステム上でも「Startup」や「Program Files」に自身を追加します。
攻撃者から送信される各コマンドは専用スレッドで処理され、データ漏洩機能には大きなデータを16KBチャンクに分ける仕組みが含まれています。このメカニズムはエラーハンドリングとデータ復旧を最適化し、フィッシング攻撃はイタリア語、チェコ語、ヒンディー語、トルコ語、ポルトガル語、インドネシア語で発生しており、グローバルに展開される可能性があります。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 14 Apr 2025 12:40:23 -0400
Original URL: https://www.bleepingcomputer.com/news/security/new-resolverrat-malware-targets-pharma-and-healthcare-orgs-worldwide/
詳細な技術情報
- 脆弱性の仕組み
- 反射型DLLローディング: ResolverRATは、正規の実行可能ファイル(’hpreader.exe’)を使用し、反射型DLLローディング技術を使ってメモリ内にロードされます。この技術は、DLLをファイルシステムに保存せずに直接メモリにロードする方法です。
- .NET/リソース解決の乗っ取り: .NETのリソース解決イベントを悪用し、API呼び出しを介さずに悪意のあるアセンブリをロードします。これにより、通常のセキュリティ監視を回避します。
- 攻撃手法
- フィッシングメール: 法的な違反や著作権侵害を装ったフィッシングメールを利用し、ターゲットの国の言語に合わせた内容で送信されます。リンクから正規の実行ファイルをダウンロードさせ、そこからRATがメモリに展開されます。
- 持続化: WindowsレジストリにXORで難読化したキーを最大20箇所追加し、スタートアップやプログラムファイルに自身を配置します。
- 潜在的な影響
- データ流出: 1MB以上のファイルを16KBのチャンクに分割してデータを送信することで、ネットワークパターンに溶け込み、検出を困難にします。
- グローバルな影響: 多言語のフィッシング攻撃が見られ、グローバル規模で展開する可能性があります。特に医療や製薬セクターの組織が標的となっています。
- 推奨される対策
- 1. メールフィルタリング強化: フィッシング攻撃を防ぐため、フィルタリングシステムの更新と従業員への教育を行います。
- 2. EPP/EDRソリューションの導入: 実行時のメモリに対する攻撃を検知するため、高度なエンドポイントプロテクションシステムやエンドポイント検出システムを導入します。
- 3. レジストリとシステムディレクトリの監視: 異常な変更を検知するため、監視を強化します。
- 4. 定期的なセキュリティパッチの適用: オペレーティングシステムとアプリケーションの最新のパッチを適用し、既知の脆弱性からの防御を強化します。
- 5. ネットワークトラフィックの分析: 通信パターンを監視して、不規則なビーコンやデータチャンク送信を検出します。
