Atroposia RAT
Atroposiaは、アンダーグラウンドフォーラムで販売されている商用リモートアクセス型トロイの木馬(RAT)です。Atroposiaは、感染したマシンを巧妙かつステルス的に制御する能力と、データの窃取、ネットワーク挙動の操作、システムの更なる脆弱性の探知のための豊富なツールキットを提供します。Atroposiaは幅広い機能と回避機能を備えているため、デバイスにAtroposiaが存在することが確認された場合は、直ちに削除する必要があります。
マルウェアの脅威は、次の 3 つの支払いレベルで潜在的な「顧客」に提供されています。
月額レンタル:200ドル
四半期ごと:500ドル(3か月)
半年払い:900ドル(6か月)
目次
ステルス、持続性、コマンドチャネル
Atroposiaは隠蔽性を維持するよう設計されています。UACを回避して自動的に権限を昇格し、複数の永続化技術を用いて再起動後も存続し、アンチウイルスソフトによる検出を回避するように設計されています。また、攻撃者のコマンド&コントロールサーバーとの通信は暗号化されており、Webスタイルのコントロールパネルにより、中程度のスキルを持つ犯罪者でも悪意のあるタスクを簡単に実行できます。
隠されたリモートコントロールとファイル処理
特徴的な機能は、隠蔽されたリモートデスクトップコンポーネント(「HRDP Connect」として販売)です。これは、被害者のマシン上で目に見えないセッションを開き、リモートの攻撃者がユーザーに気づかれることなくデスクトップを操作できるようにします。さらに、Atroposiaにはファイルマネージャーも搭載されており、攻撃者はこれを利用してドライブやフォルダを閲覧したり、ファイルを検索したり、リモートからダウンロード、削除、実行したりできます。
大量収集とステルスパッケージ
このRATには、拡張子またはキーワードでファイルを検索し、一致したファイルをパスワード保護されたZIPファイルにまとめるグラバーが含まれています。メモリ内でデータを完全に組み立ててパッケージ化することも、システム組み込みユーティリティを利用することで、ディスク上に残るアーティファクトを最小限に抑え、フォレンジックによる検出を困難にします。
認証情報とウォレットの盗難機能
Atroposiaのスティーラーモジュールは、保存されたブラウザのパスワード、ビジネスアプリケーションやVPNクライアントの認証情報、メッセージングプログラムのデータ、利用可能な場合はパスワードマネージャーのデータ、そして暗号通貨ウォレットの情報など、幅広い機密情報を収集します。また、クリップボードの内容(ユーザーがコピーまたは切り取ったすべての情報)をキャプチャし、ログに記録して保存します。さらには、コピーされたウォレットアドレスや認証情報を置き換えるためにクリップボードの内容を上書きすることさえ可能です。これは、資金の流出やアカウントの乗っ取りに有効な手法です。
ネットワーク操作とDNSハイジャック
このマルウェアはDNS設定を変更したり、名前検索を傍受したりすることで、被害者のブラウザを攻撃者が管理する偽サイト(偽のログインページなど)に気づかれずにリダイレクトします。ブラウザには想定通りのURLが表示される場合があるため、被害者は正規のサイトにいると思い込み、認証情報を入力させられる可能性があります。
脆弱性スキャンとエスカレーションの機会
Atroposiaには、感染したホストを検査し、パッチの未適用、脆弱な構成、古いソフトウェアがないか確認するスキャナが搭載されています。企業環境では、パッチ未適用のVPNクライアント、権限昇格のバグ、その他の脆弱性といった、攻撃者がネットワーク全体へのアクセスを拡大するために悪用する、価値の高い標的を特定できます。
システムテレメトリとリモートコントロールユーティリティ
このRATは、データ窃取やリモートデスクトップに加え、システムメタデータ(IPアドレス、OSバージョン、位置情報、その他の環境詳細)の収集、実行中のプロセスの一覧表示と管理、リモートシャットダウンおよび再起動操作のサポートも提供します。また、このツールキットには、影響度の低い追加ユーティリティも含まれており、これらを組み合わせることで、幅広い運用柔軟性を実現します。
感染は通常どのように起こるか
悪意のある文書や武器化された文書(たとえば、感染した PDF や電子メールで配布されるその他の添付ファイル)
ソフトウェアの著作権侵害パッケージ、ドライブバイエクスプロイト、不正広告、偽のテクニカルサポートスキーム、P2P/共有ファイル、欺瞞的なダウンロードサイト、サードパーティのインストーラー、および同様のチャネル
これらの配信方法が成功する理由: 攻撃者はソーシャル エンジニアリング (偽の文書、誘惑的なダウンロード、ファイルの実行要求) や脆弱性の悪用、偽のインストーラーに依存しており、ほとんどの感染はユーザーが騙されてマルウェアを実行したときに発生します。
影響の概要
Atroposiaは、包括的なデータ窃取(ファイル、認証情報、クリップボードデータ、暗号ウォレット)、秘密裏のリモート制御、DNS改ざんによるネットワークリダイレクト、そして更なる悪用のための偵察活動を可能にします。そのステルス性の高いアーキテクチャ(権限昇格、永続化、メモリ内パッケージング、暗号化されたC2、隠蔽されたリモートセッション)は、個人と組織の両方にとって特に危険です。
即時対応
システム上でAtroposiaが疑われる場合、または検出された場合は、デバイスをネットワークから切断し、可能であれば分析用にログを保存し、マルウェアを可能な限り速やかに削除してください。攻撃者は収集した認証情報や横方向の経路を利用できるため、侵害は広範囲に及ぶ可能性があると見なし、パスワードのローテーション、トークンの失効、より広範な内部調査の実施を検討してください。
