Microsoft Office/Adob​​e PDF ドキュメントの兵器化:Escanor RAT は機能満載

Escanor Malware delivered in Weaponized Microsoft Office Documents

2022/08/22 SecurityAffairs — ロサンゼルスを拠点にして Fortune 500 を保護する、グローバル・サイバー・セキュリティ企業である Resecurity は、新しいRAT (Remote Administration Tool) である Escanor が、ダークウェブや Telegram などで宣伝されていることを確認している。この攻撃者は、Android/PC ベースの RAT に加えて、HVNC (HiddenVNC)/Exploit Builder を提供し、Microsoft Office/Adobe PDF ドキュメントを兵器化することで、悪意のコードを配信している。

2022年1月26日に販売が開始された一連のツールは、被害者のコンピュータに密かにリモート接続するための、コンパクトな HVNC インプラントとしてリリースされた。しかし、その後に、豊富な機能を備えた本格的な商用 RAT へと変貌を遂げた。Escanor は、ダークウェブで信頼を築いており、Telegram チャネルでは 28,000 以上のサブスクライバーを獲得している。過去には、まったく同じ名前の攻撃者が、Venom RAT/888 RAT/Pandora HVNC といった、他のダークウェブ・ツールのクラック・バージョンをリリースしていた。Escanor の機能をさらに強化するために、これらのツールが利用された可能性もある。


モバイル版の Escanor (別名 Esca RAT) は、OTP (One Time Password) コードを傍受して、オンライン・バンキングの顧客を攻撃する、サイバー犯罪者たちに活発に使用されている。このツールは、被害者のモバイル・デバイス上で、GPS 座標の収集/キーストロークの監視/隠しカメラの起動/ファイル閲覧などを行い、データを窃取する。

Escanor Malware


最近のオンライン・バンキング・インシデントを調査した、Resecurity のマルウェア・アナリストである Ali Saifeldin は、「詐欺師は被害者の位置を監視し、Esca RAT を利用してオンライン・バンキング・プラットフォームの認証情報を盗み、同じデバイス/IP から侵害済のアカウントに不正にアクセスする。このようなケースでは、詐欺防止チームによる攻撃の検出や、タイムリーな対応は不可能だ」と述べている。

最近に検出されたサンプルの大半は、Escanor Exploit Builder を用いて配布されている。この驚異アクターは、一般的なオンラインサービスで使用される請求書/通知書を模倣した、おとり文書を使用していた。

特筆すべきは、ドメイン名 escanor[.]live は、AridViper (APT-C-23/GnatSpy) のインフラに関連していることが、以前に確認されていたことだ。中東地域で活動するグループ APT-C-23 は、特にイスラエルの軍事資産を標的としていることで知られている。Qihoo 360 が、このレポートを公開した後に、Escanor RAT のオペレーターは、このツールを使用して AV 検出をバイパスする方法を、リリースしたビデオで詳述している。

Escanor Malware

Escanor に感染した被害者の大半は、米国/カナダ/UAE/サウジアラビア/クウェート/バーレーン/エジプト/イスラエル/メキシコ/シンガポールなどで確認されており、東南アジアにも被害者がいるとのことだ。

Escanor という RAT ですが、このブログでは初登場です。文中にもあるように、RAT に加えて、HVNC (HiddenVNC) の提供しているようです。ただし、Microsoft Office/Adob​​e PDF ドキュメントを兵器化といっても、その詳細は、まだ不明なのかもしれません。また、モバイル版では、OTP (One Time Password) コードを傍受して、オンライン・バンキングを狙うと記されていて、かなりの多機能ぶりが推測されます。続報がほしいですね。

%d bloggers like this: