色弱RAT

サイバーセキュリティの研究者は、Python Package Index (PyPI) にアップロードされた脅威的な Python パッケージを発見しました。このパッケージには、有害な情報窃盗プログラムとリモート アクセス トロイの木馬 (RAT) が含まれています。このパッケージは「colourfool」と名付けられ、マルウェアの脅威自体を「Colour-Blind」と名付けたセキュリティ研究チームによって特定されました。

このインシデントは、悪意のあるアクターが既存のコードに簡単にアクセスして自分の意図のために再利用できる、民主化されたサイバー犯罪の傾向が高まっていることを浮き彫りにしています。研究者は、オンライン犯罪の民主化は、攻撃者が他者から入手したコードを利用してマルウェアの複数の亜種を作成できるため、脅威の状況が激化する可能性があると説明しました。

最近の他の不正な Python モジュールと同様に、Colour-Blind はセットアップ スクリプト内に不正なコードを隠すテクニックを使用しています。次に、セットアップ スクリプトは、正規の Discord プラットフォームでホストされている ZIP アーカイブ ペイロードをポイントします。これにより、マルウェアは従来のセキュリティ対策による検出を回避できるようになり、検出と削除がより困難になります。

色盲のRATが「スネーク」ゲームのコードを運ぶ

このマルウェアは、「Essentials. vbs」をユーザーの「スタート メニュー」の「スタートアップ」フォルダにコピーします。ログインすると、VB スクリプトは、マルウェアが「python.exe」と同じフォルダーに挿入する Windows バッチ ファイルを実行します。このバッチ ファイルは、ユーザーがログインするたびに Python を使用してマルウェアを起動し、マルウェアがアクティブでシステムに存在することを保証します。

このマルウェアには、攻撃者の間で人気が高まっている匿名のファイル転送 Web サイトである「transfer[.]sh」を利用したファイル抽出機能があります。このマルウェアには、ソーシャル エンジニアリングに関連するコードも含まれており、エラー メッセージを生成して、管理者としてマルウェアを再実行するようユーザーを説得しようとします。さらに、このマルウェアには、GitHub リポジトリからコードを直接コピーしたように見える「Snake」ゲームの埋め込みバージョンが含まれています。ただし、このゲームは明確な目的を果たさず、実行しても起動しません。

マルウェアは、Cookie、パスワード、暗号通貨ウォレットを収集するためのスレッドを含む複数のサブプロセスをトリガーします。リモート コントロールを有効にするために、マルウェアは Flask Web アプリケーションを起動します。その後、この脅威は、「cloudflared」という名前の Cloudflare のリバース トンネル ユーティリティを介してアプリケーションをインターネットにアクセスできるようにします。この方法を使用することで、マルウェアは受信ファイアウォール ルールをバイパスし、侵害されたシステム上で持続的に存在を維持できます。

色盲のRATに見られる広範な脅威機能のセット

Colour-Blind RAT とそのさまざまな有害な機能は、Web アプリケーションを介して制御できます。 tokens 関数は、electron.io または chromium をアプリケーション フレームワークとして直接使用するいくつかのアプリケーションのログイン トークンをダンプできます。これには、Discord が含まれます。パスワード機能は Web ブラウザーから抽出されたパスワードを画面にダンプしますが、Cookie 関数はすべてのブラウザー Cookie を画面にダンプします。 keys 関数は、キャプチャされたデータをキーロガーにダンプし、画面に表示します。

RAT の機能には、現在アクティブなアプリケーションのリストとアプリケーションを終了するためのボタンを提供するアプリケーション機能もあります。データ ダンプ機能は、キャプチャされたすべてのデータを C2 URL に送信します。 screen 関数は、ユーザーのデスクトップのスクリーンショットを表示し、キーを押すなどの基本的な操作を可能にします。この脅威は、IP 情報を検索し、別の機能を使用して画面に表示することもできます。ブラウザーを開いて特定の Web ページを開き、オペレーティング システムを介してコマンドを実行できます。仮想通貨のウォレット情報は、ファントム/メタマスク機能を介して侵害されたデバイスから収集できます。

ただし、Colour-Blind RAT は、感染したシステムでさらに多くのアクションを実行できます。たとえば、/camera エンドポイントを使用して、疑いを持たないユーザーを Web カメラ経由でスパイします。 「hvnc」で始まるさまざまなエンドポイントもあり、被害者のマシンで作成された非表示のデスクトップを処理します。 /hvncmanager 関数を使用すると、この非表示のデスクトップで Web ブラウザーを起動できます。 /hvnc 関数は、非表示のデスクトップを開くために使用され、攻撃者がデスクトップと対話できるようにします。 Web ブラウザをこのように隠された方法で開く機能は、攻撃者によって悪用され、被害者のインターネット アカウントにアクセスしたり操作したりする可能性があります。 /hvncitem 関数を使用すると、攻撃者は URL パラメータ「start」を操作して、非表示のデスクトップでカスタム コマンドを実行できます。