PythonRatLoader という新たなマルウェア・ローダー:フィッシングから多段階攻撃を展開

PythonRatLoader: The Malware Loader That’s Turning Phishing Into a Multi-Stage Attack

2024/11/01 SecurityOnline — Cofense Phishing Defense Center (PDC) の最近レポートは、XWorm/VenomRAT/AsyncRAT/DCRat などの各種の RAT (Remote Access Trojans) を配布する、高度なマルウェア・ローダー “PythonRatLoader” に関するものだ。このローダーは、エンタープライズ環境に対して複雑かつ有害な攻撃を仕掛けるために、多層的な難読化と回避技術を採用しており、キャンペーンの標的となるあらゆる組織に深刻なリスクをもたらすものだと、PDC の Adam Martin と Kian Buckley Maher は述べている。

この攻撃は、カスタマー・サービスへの問い合わせを装う、正規のものに見えるフィッシング・メールから始まる。このメールは、緊急の行動を促すメッセージであり、悪意の WebDAV サーバへのリンクを取り込んだ、添付ファイル (PDF) を開くよう、受信者を誘導する。Cofense によると、「このメールは、緊急性を煽る文言で被害者を欺き、悪意の添付ファイルをクリックさせ、一連の有害な活動を開始させるもの」とのことだ。それらの添付ファイルに仕込まれたリンクがクリックされると、悪意のリモート・サーバへと被害者を誘導するファイルがダウンロードされ、さらなるマルウェア・コンポーネントをダウンロードされるという、侵害のチェーンが引き起こされる。

PythonRatLoader を背後で操る脅威アクターは、あらゆる手口を駆使して検知を回避していく。まず、WebDAV でホストされる PDF へのアクセスが生じると、PowerShell スクリプトが起動する。続いて、ステルス・コマンドを用いて複数のマルウェア・ペイロードをインストールするための、BatchShield で難読化されたバッチ・スクリプトがダウンロードされる。このレポートは、「PythonRatLoader は、このように難読化を階層化することで被害者のシステムに侵入し、深刻なレベルの被害を引き起こす」と指摘している。

さらに、PowerShell スクリプトが ZIP ファイルをダウンロードし、複数の Python スクリプトをユーザーの AppData ディレクトリに展開し、それぞれが異なる RAT ペイロードを開始する準備を行う。

PythonRatLoader のペイロードは、以下のような RAT により、標的環境における監視/データ盗難/システム搾取などを行う:

  • XWorm:xw.py スクリプトが Notepad.exe プロセスを生成し、XWorm のシェルコードを注入する。このマルウェアにより、攻撃者は完全なリモート・コントロールが可能となり、多くの場合において、検知されることなく C2 サーバに接続する。
  • VenomRAT:ex.py により実行される VenomRAT は、XWorm と同様の動作をし、別のメモ帳プロセスに悪意のシェルコードを注入し、被害者のシステムにバックドアを作成する。
  • DCRat:ch.py スクリプトは DCRat をロードし、持続性を維持しながら、キーロギングからファイルの外部流出にいたるまでの、広範なリモート機能を提供する。

それぞれの RAT は個別に動作して、システム・プロセスに悪意のコードを埋め込むというステルス技術であるが、”Early Bird APC injection” というプロセス注入方法を悪用している。レポートは、「本質的には、スクリプトが新しいプロセス (この場合は Notepad.exe) を作成し、スレッドの実行が始まる前に悪意のコードを注入する」と説明している。この戦術により、一般的なアンチウイルス・ソフトウェアでは検知されることな、一連の RAT は動作できるため、その除去がさらに困難になる。

Cofense PDC が企業に対して強く推奨するのは、メール・セキュリティの強化と、フィッシングに対する従業員の意識向上である。主な警戒すべき兆候としては、予期せぬ添付ファイル/奇妙な URL/緊急または感情的な表現/不自然なメールアドレスなどがある。また、初期の感染経路は、巧妙に作られたフィッシング・メールであり、無害を見せかながらユーザーを油断させ、誤った安心感を抱かせるものであるため、それらの疑わしいメールを識別するためのトレーニングを、従業員に受けさせることも推奨される。

進化のスピードを緩めずに、着々と攻撃力を増しているマルウェア・ローダーですが、PythonRatLoader というものが登場したようです。フィッシングから感染させ、さまざまな検知を回避しながら、次のステップのマルウェアをロードしていくようです。よろしければ、Malware Loader で検索も、ご利用ください。