フィッシングキャンペーンで配布されたAveMariaRAT
FortiGuard Labsのセキュリティ研究者は、ファイルレスマルウェアのいくつかの株を配布していた新しいフィッシングキャンペーンを追跡しました。その中には、AveMariaRATと呼ばれるものも含まれていました。
AveMariaRATを広めるキャンペーンでは、悪意のあるメールに添付された、通常は支払いレポートを装った偽の文書を使用します。攻撃チェーンはかなり複雑で、マクロ、HTMLファイルに含まれるJavaScript、PowerShellが含まれます。
AveMariaRATは、WARZONE RATとも呼ばれ、キャンペーンで配布される数種類のファイルレスマルウェアの1つです。 AveMariaRATが自由に使えるツールキットは手ごわいものであり、特権を昇格させ、システムをリモートで制御し、ターゲットシステムから機密情報を盗み出す機能が含まれています。
ターゲットシステムにデプロイされると、AveMariaRATにより、リモートシェルの実行、ファイルエクスプローラーとプロセスマネージャーへのアクセス、ファイルのダウンロードと実行、キーロガー、およびWebカメラのリモート制御が可能になります。
AveMariaRATに加えて、他の2つのファイルレスRATが同じフィッシングキャンペーンで配布されます。それらの1つはPandorahVNCRATであり、もう1つはBitRATという名前です。 BitRATは最も用途が広く、オペレーターが利用できる172のコマンドが報告されています。