マイクロソフトが新しいRATターゲティング業界に警告を発する
Microsoft Security Intelligenceは一連のツイートを公開し、航空宇宙および旅行業界を標的とするマルウェアの新種の拡散を警告しました。問題のマルウェアはRevengeRATという名前です。
RATまたはリモートアクセス型トロイの木馬は、悪意のある攻撃者が感染したシステムまたはネットワークをかなり制御できるようにするマルウェアの一種です。 RATには通常、ハッカーができるだけ長く検出されないまま、被害者のシステムでコマンドを送信してコードを実行できるようにするバックドアコンポーネントが含まれています。
新しいRevengeRATは、AsyncRATとも呼ばれ、主にスピアフィッシングメールを使用して拡散されています。スピアフィッシングは、悪意のあるメールを送信する方法であり、信頼できる送信元(通常は受信者がすでに知っていて信頼している人)から送信されたかのように電子メールをマスクします。
大量のスパムキャンペーンで電子メールが送信される通常のフィッシングとは異なり、スピアフィッシングは、特定のビジネス、組織、またはエンティティに焦点を当てた、より狭い範囲を対象としたアプローチになる傾向があります。
RevengeRATを拡散する悪意のある電子メールには、Adobe PDFファイルを装った添付ファイルがありますが、実際には、悪意のあるスクリプトが含まれているVisualBasicファイルです。スクリプトが実行されると、RATペイロードがデプロイされます。添付ファイル内の悪意のあるファイルは通常、正当なWebサービスを悪用し、VisualBasicスクリプトファイルへのリンクを含んでいます。
Microsoftのツイートで引用されているセキュリティ会社Morphisecは、RevengeRATの展開に使用されたローダーを「Snip3」と名付けました。ローダーに関する興味深い事実は、マルウェアをキャッチするサンドボックスとして使用できるWindowsサンドボックスまたは別の仮想マシン環境内で実行されていることを検出した場合、リモートアクセストロイの木馬コンポーネントの展開を完全にスキップすることです。
RevengeRATには、ログインクレデンシャルを盗み出し、スクリーンショットをキャプチャし、Webカメラにアクセスして、クリップボードの内容を覗き見する機能があります。
RATが被害者のシステムに展開されると、動的ホスティングサイトを使用してコマンドアンドコントロールサーバーに接続し、PowerShellとファイルレスメソッドを悪用して、Pastebinなどのサイトの公開リンクからさらに3つのペイロードを取得して展開します。
Microsoftによると、現在のRevengeRATキャンペーンを実行している悪意のある人物が使用するスピアフィッシングメールで使用されているキーワードと角度はすべて、旅行および航空宇宙セクターの労働者に傾いています。
ツイートはさらに、MicrosoftのDefenderがこのマルウェアの個別のコンポーネントを検出し、攻撃のすべての段階で反応できることを指摘しています。