Nerbian RAT マルウェアは手強い:スティルス機能を満載して WHO を偽装する

New stealthy Nerbian RAT malware spotted in ongoing attacks

2022/05/11 BleepingComputer — Nerbian RAT と呼ばれる、新たなリモート・アクセス型トロイの木馬が発見された。この RAT は、研究者による検出や分析を回避する機能などの、豊富な機能を備えていることが判明している。この新しいマルウェアの亜種は、Golang で書かれているため、クロス・プラットフォームの 64 Bit 脅威となっており、現時点においてはマクロが混入された文書の添付ファイルを使用した、小規模な電子メール配信キャンペーンにより配布されている。この電子メール・キャンペーンは、Proofpoint の研究者たちが発見したものであり、同社は Nerbian に関するレポートも発表している。

WHO になりすます

Nerbian RAT を配布するマルウェア・キャンペーンは、世界保健機関 (WHO) になりすまし、ターゲットに COVID-19 情報を送信しているとされる。

Phishing email seen in the latest campaign
Phishing email seen in the latest campaign (Proofpoint)

配布されている RAR 形式の添付ファイルには、悪意のマクロコードが混入された Word 文書が含まれており、Microsoft Office 上でコンテンツを enabled に設定して開くと、bat ファイルが PowerShell の実行ステップを走らせ、64 Bit ドロッパーをダウンロードする。UpdateUAV.exe という名のドロッパーも Golang で書かれており、サイズを管理しやすくするために UPX でパックされている。

UpdateUAV は、GitHub プロジェクトにおける各種のコードを再利用し、Nerbian RAT のデプロイメントに先立ち、アンチ解析および検出回避のための豊富なメカニズムを組み込んでいる。それとは別に、このドロッパーは、1時間ごとに RAT を起動するスケジュール・タスクを作成することで、永続性を確立している。Proofpoint は、アンチ解析ツールのリストを、以下のようにまとめている。

  • プロセス・リストにおけるリバース・エンジニアリング/デバッグ・プログラムの存在の有無を確認する。
  • 不審な MAC アドレスの有無を確認する。
  • WMI 文字列をチェックし、ディスク名が正当なものかどうかを確認する。
  • ハードディスクの容量を確認し、仮想マシンで一般的な 100GB 以下であるかどうかを見極める。
  • プロセス・リストにおける、メモリ解析プログラム/改ざん検知プログラムの存在の有無を確認する。
  • 実行後の経過時間を確認し、設定した閾値と比較する。
  • IsDebuggerPresent API を使用して、実行ファイルに対するデバッグの有無を判断する。

これらのチェックにより、この RAT をサンドボックスや仮想化環境で実行させることは実質的に不可能であり、また、マルウェア運営者には長期的なステルス性の確保がもたらされる。

Nerbian RAT の特徴

このトロイの木馬は “MoUsoCore.exe “としてダウンロードされ、”C:\ProgramData\USOShared\” に保存される。このトロイの木馬は、いくつかの機能をサポートしており、そのうちのいくつかは、オペレーターによるコンフィグレーションが可能である。

代表的な機能としては、キー入力を暗号化して保存するキーロガーと、すべての OS プラットフォームで動作する画面キャプチャ・ツールがある。C2 サーバとの通信は SSL (Secure Sockets Layer) で処理されるため、データのやり取りは暗号化され、ネットワーク・スキャン・ツールによる移動中の検査からも保護される。

The complete infection process
The complete infection process (Proofpoint)

注視すべき点

Proofpoint が発見したマルウェアは、多様なチェック/暗号化通信/コードの難読化などを通じてステルス性を追求した、興味深く複雑な新種マルウェアであることに間違いないだろう。しかし、現時点における Nerbian RAT は、少量の電子メール・キャンペーンを通じて配布されているため、大規模な脅威には至っていない。しかし、この作者が、広大なサイバー犯罪コミュニティへ向けて、そのビジネスを開放すると決断した場合には、大きな変化が生じる可能性があるだろう。

サンドボックスや仮想化環境での実行を回避するマルウェアが増えているようですが、この Nerbian RAT も、最先端を行く脅威の1つのようです。似たようなトピックとしては、2022年1月24日の「DTPacker はマルウェアのパッカー/ダウンローダーとして機能する厄介な相手」や、5月6日の「ハッカー御用達の PrivateLoader 課金サービス:高度な NetDooka バックドアが展開されている」、5月7日の「新たなマルウェアを検出:Windows イベントログにシェルコードを隠す高度なスティルス性」などがあります。よろしければ、ご参照ください。