PureRATマルウェア：巧妙なフィッシング攻撃の背後にあるもの

PureRAT とは何ですか? なぜ話題になっているのですか?

PureRATは、ロシアの組織を狙ったフィッシング攻撃の急増の中心となったことで注目を集めているリモートアクセス型トロイの木馬（RAT）です。2023年初頭に初めて確認されたこのマルウェアは、2025年初頭までひっそりとバックグラウンドで活動を続けていました。

犯人の身元は不明ですが、攻撃手法はあまりにもお馴染みのものです。RARアーカイブまたはそのリンクを含むフィッシングメールが届き、巧妙に無害なMicrosoft WordまたはPDF文書に見せかけられます。これらの偽装ファイル名は、多くの場合、二重の拡張子（例：.pdf.rar）を使用して、ユーザーが一般的なファイル形式を操作していると思い込み、開かせようとします。

攻撃の展開：階層化された配信方法

アーカイブを開くと、実行ファイルが含まれています。被害者がそれを実行すると、マルウェアはWindowsシステムにひっそりとインストールされ、「task.exe」という名前でAppDataフォルダにコピーされます。そこから、システムのスタートアップフォルダにVisual Basicスクリプトをドロップし、マシンが再起動されるたびに実行されるようにします。

この初期ペイロードは、「ckcfb.exe」という別のファイルを解凍し、正規のWindowsツールであるInstallUtil.exeを使用してマルウェアの次の段階をインジェクトします。この時点で、「Spydgozoi.dll」というキーファイルが復号・実行され、PureRATのメインバックドアが起動します。

単純な監視を超えた機能

PureRATは単なるバックドアではなく、多機能なスパイツールです。コマンドアンドコントロール（C2）サーバーとの安全なSSL接続を即座に確立し、使用中のウイルス対策ソフトウェア、コンピュータ名、稼働時間といったシステムの詳細情報を攻撃者に送信します。接続が確立されると、マルウェアは様々なモジュールをダウンロードして起動し、機能を拡張します。

これらのモジュールには次のものが含まれます。

• PluginPcOption : マルウェアが自身を削除したり、動作を再開したり、システムを強制的にシャットダウン/再起動したりできるようにします。
• PluginWindowNotify : 開いているウィンドウで「パスワード」や「銀行」などのキーワードを監視し、リアルタイムの監視やリダイレクトを可能にする可能性があります。
• PluginClipper : クリップボード ハイジャッカーとして機能し、コピーされた暗号通貨ウォレット アドレスを攻撃者が管理するアドレスに置き換えます。

単なるRAT以上の存在：PureCrypterとPureLogsの登場

PureRATの複雑さはそれだけではありません。最初の実行ファイルは、「StilKrip.exe」という別のコンポーネントも展開します。これはゼロから開発されたマルウェアではなく、 PureCrypterと呼ばれる市販のダウンローダーです。2022年から活動しており、犯罪活動で新たな脅威を拡散するためによく使用されています。

PureCrypterは「Bghwwhmlr.wav」というファイルを取得して実行し、このファイルはInstallUtil.exeを再度呼び出して一連の処理を継続します。最終的に「Ttcxxewxtly.exe」というファイルが実行され、最終的なペイロードであるPureLogs Stealerが抽出されます。

PureLogsは、ブラウザやメールクライアント、VPNアプリ、パスワードマネージャー、暗号通貨ウォレットをスキャンする包括的な情報収集ツールです。FileZillaやWinSCPなどのFTPクライアントから認証情報を収集することも可能です。

組織とサイバー防御への影響

PureRATの特徴は、そのモジュール構造と静かな持続性です。単なる感染ではなく、攻撃者が侵入したシステムをほぼ完全に制御できるようにするプラットフォームです。キー入力の監視、Webカメラの制御、密かにデータをマイニングすることまで、このマルウェアは幅広いサイバースパイ活動を可能にします。

企業、特に機密データを扱う業界にとって、これはデータ盗難のリスクだけでなく、業務中断のリスクも増大することを意味します。侵害されたシステムは数週間から数ヶ月間、検知されずに残る可能性があり、攻撃者は貴重な情報を着実に盗み出すことができます。

目に見えない侵略者からの防御

PureRATの主な侵入経路は依然としてフィッシングメールです。これは、堅牢なメールセキュリティプロトコル、ユーザートレーニング、エンドポイント保護ソリューションの必要性を浮き彫りにしています。組織は、異常なアクティビティの監視、多要素認証の導入、システムとソフトウェアの最新化に注力する必要があります。

サイバーセキュリティの専門家は、電子メールの添付ファイルをサンドボックス化し、InstallUtil.exe などの正当なシステム ツールを使用して痕跡を隠している場合でもマルウェアを検出できる動作検出技術を実装することも推奨しています。

パニックを起こす原因ではなく、警鐘を鳴らすもの

PureRATと、PureCrypterやPureLogsといった関連コンポーネントの台頭は、マルウェア戦術の進化を示唆しています。ソーシャルエンジニアリング、正規ツール、そして既製のコンポーネントを巧妙に組み合わせた強力な脅威です。しかし、組織は認識と準備、そして適切なセキュリティ体制を整えることで、これらの複雑な脅威から効果的に防御することができます。目的は恐怖心を煽ることではなく、ますます巧妙化するサイバー攻撃に対し、警戒を怠らず、情報に基づいた行動を促すことです。