複数ライセンス割引見積
脅威データベース マルウェア EndRATマルウェア

EndRATマルウェア

マルウェア, 高度な持続的脅威 (APT), リモート管理ツールMezoまで
翻訳内容:

Konni脅威グループによるものとされる高度なサイバー攻撃は、長期的な侵入、データ漏洩、および横方向への拡散に対する周到なアプローチを示している。この作戦の中心にあるのはEndRATマルウェアであり、これは永続性を維持し、機密情報を密かに抽出すると同時に、信頼できる通信チャネルを利用して攻撃範囲を拡大するように設計された強力なリモートアクセス型トロイの木馬である。

欺瞞的な侵入経路:武器化されたスピアフィッシング戦術

この侵入は、北朝鮮の人権に関する講師に任命されたという公式通知を装った、巧妙に作成されたスピアフィッシングメールから始まる。このソーシャルエンジニアリングの手法は、信頼性と好奇心を悪用するように設計されている。

受信者が添付されたZIPアーカイブを開くと、悪意のあるWindowsショートカット(LNK)ファイルが実行されます。この動作により、多段階の感染チェーンが開始されます。

  • LNKファイルはリモートサーバーからセカンダリペイロードを取得します
  • 永続性は、スケジュールされたタスクによって確立され、長期的なアクセスを保証します。
  • 偽のPDF文書を表示して被害者の注意をそらし、その間に悪意のあるプロセスがバックグラウンドで実行される。

この最初の妥協により、即座に疑念を抱かれることなくEndRATを展開することが可能になる。

EndRATの正体:永続的な制御とデータ漏洩

AutoItを使用して開発されたEndRAT(EndClient RATとも呼ばれる)は、攻撃の運用の中核を担う。システムに組み込まれると、侵害されたホストを完全にリモート制御できるようになる。

EndRATの主な機能は以下のとおりです。

  • コマンド実行のためのリモートシェルアクセス
  • ファイルシステムの操作とデータ漏洩
  • 被害者と攻撃者間の安全なデータ転送
  • ステルス機構による持続的な足場構築

このマルウェアは長期間潜伏状態を維持するため、継続的な監視と、内部文書や機密データの抽出が可能となる。

多層的な脅威展開:回復力のための複数のRAT

さらなるフォレンジック分析により、EndRATは単独で展開されているわけではないことが明らかになった。RftRATおよびRemcosRATに関連するAutoItベースのスクリプトを含む、その他の悪意のあるコンポーネントが、侵害された環境に導入されている。

この階層的な展開戦略は、高価値ターゲットに対して冗長な制御メカニズムを適用することで、たとえ1つのマルウェアが検出または削除されたとしても、運用継続性を確保することを示しています。複数のRATファミリーが存在することで、攻撃者はアクセスを維持し、防御策に適応する能力が大幅に向上します。

信頼を武器にする:マルウェア配布チャネルとしてのカカオトーク

このキャンペーンの特徴は、感染したシステムにインストールされているKakaoTalkデスクトップアプリケーションの悪用です。攻撃者は認証済みユーザーセッションを利用することで、被害者を意図せずマルウェアの拡散者に変えてしまいます。

侵害されたアカウントを利用して、悪意のあるZIPファイルが被害者のネットワーク内の連絡先に選択的に送信されます。これらのファイルは北朝鮮関連のコンテンツを装っていることが多く、受信者がファイルにアクセスしてプログラムを実行する可能性を高めています。

この戦術は、既に確立された信頼関係を利用することで、感染の成功率を大幅に向上させ、社会的および職業的ネットワーク全体にわたる標的を絞った横方向の移動を可能にする。

戦術の進化:メッセージングの悪用からデバイス破壊まで

今回のキャンペーンは、2025年11月に同じ脅威グループがKakaoTalkセッションを利用して悪意のあるアーカイブを配布した際に確認された活動に基づいています。その作戦中、攻撃者は盗んだGoogleの認証情報を利用して、被害者のAndroidデバイスのリモートワイプも実行しました。

メッセージングプラットフォームの継続的な利用は、従来の大量配信手法ではなく、アカウント乗っ取りと信頼できるコミュニケーションチャネルに焦点を当てた、進化する戦略を浮き彫りにしている。

戦略的評価:持続的かつ適応的な脅威モデル

この攻撃は、初期侵入にとどまらず、高度に連携のとれた多段階攻撃フレームワークを典型的に示している。スピアフィッシング、巧妙な永続性攻撃、EndRATによる高度なリモートアクセス、そしてアカウントベースの拡散を組み合わせることで、攻撃者は侵入戦略において深さと広さの両方を実現している。

接触相手を厳選して標的にすることと、綿密に作成されたおとりコンテンツを組み合わせることで、意図的かつ情報に基づいたアプローチが強調されます。EndRATを中央制御メカニズムとして利用することは、現代のサイバー諜報活動における重要なツールとしてのEndRATの役割を強化し、信頼できるネットワーク全体にわたる持続的なアクセス、データ窃盗、そして拡張可能な感染連鎖を可能にします。

トレンド

Tarwils.com

不正なウェブサイト, アドウェア
Tarwils.com は、非倫理的な戦術を使用する欺瞞的な Web ページにリンクされている URL です。その主な目標は、戦術を促進し、ユーザーに侵入的なブラウザ通知を配信することを中心に展開されます。さらに、この Web サイトはユーザーを別の Web サイトに誘導する機能を備えている可能性があり、信頼性も安全でもない目的地にユーザーを誘導することがよくあります。ほとんどの場合、不正な...

SHub Stealer

Mac マルウェア, スティーラーズ
SHubは、macOSシステムを標的とした高度な情報窃盗マルウェアです。その主な目的は、ブラウザ、仮想通貨ウォレット、および各種システムコンポーネントから機密情報を抽出することです。この脅威は、認証情報の窃盗、仮想通貨の標的化、および永続的なアクセスメカニズムを単一の攻撃キャンペーン内で組み合わせているため、特に危険です。 このマルウェアは、ユーザーを騙して悪意のあるコマンドを実行させるとい...

Beringlousnet.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
ウェブ閲覧中の注意はもはやオプションではなく、必須です。サイバー犯罪者は、不注意なユーザーを狙う欺瞞的な手法を絶えず開発しています。悪質なウェブサイトは、偽のCAPTCHAチェックなどの操作的な手法を頻繁に用い、偽の口実で表示された「許可」ボタンをクリックするよう訪問者に促します。これにより、ユーザーは知らないうちに煩わしいプッシュ通知に登録されてしまいます。これらの通知を通じて配信される広...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
37,346
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

問題
32,270
Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
30,692
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...