JelusRAT
JelusRATは、サイバー犯罪者が侵入したコンピュータを密かに制御できるようにするリモートアクセス型トロイの木馬(RAT)です。C++で開発され、専用のローダーを使用してメインペイロードを復号し、展開します。従来のファイルとしてインストールされるのではなく、メモリ内で直接実行されるため、ディスク容量が大幅に削減され、検出が困難になります。システム上でJelusRATが検出された場合、さらなる侵害を防ぐために、直ちに削除することが重要です。
目次
偽装ローダーとファイルレス実行
感染チェーンは、正規アプリケーションを装うローダーから始まります。このコンポーネントは、2つの暗号化されたセグメントを隠蔽します。1つはマルウェアの核となる部分、もう1つは設定データを格納する部分です。ローダーは起動されると、メインペイロードを復号し、システムメモリに直接起動します。その後、ローダーは自身を削除して証拠を消去します。この「ファイルレス」手法は、従来のセキュリティ対策やフォレンジック分析を回避するために特別に設計されています。
構成処理とステルス戦術
実行後、メインペイロードはInfo.iniという設定ファイルにアクセスし、操作指示を取得します。このファイルは読み取り後すぐに削除され、侵入の痕跡を最小限に抑えます。このファイル内のデータは難読化されており、マルウェアは最初のバイトに埋め込まれた小さな値を使用して、指示を実行する前に解読します。
リモート制御機能とコマンド処理
JelusRATは、攻撃者のサーバーから様々なコマンドを受け入れるように構築されています。自身を重要なシステムプロセスとして宣言できるため、強制終了を試みるとWindowsのブルースクリーンが起動し、手動による削除を効果的に阻止します。また、この機能を無効化したり、コマンドアンドコントロール(C&C)インフラストラクチャとの通信方法を変更したり、指示に従って自身をシャットダウンしたりすることも可能です。
プラグインで動くモジュラープラットフォーム
JelusRATは、すべての悪意ある機能を内部に搭載するのではなく、主にフレームワークとして動作します。攻撃者のサーバーからDLLプラグインの形で追加のアドオンをダウンロードし、必要に応じて機能を拡張できます。その機能の大部分はこれらのモジュールを通じて提供されるため、脅威アクターはペイロード全体を再展開することなく、マルウェアをさまざまな目的に合わせて適応させることができます。
JelusRAT は、次のような他の種類のマルウェアを導入するために悪用される可能性があります。
- ランサムウェア、暗号通貨マイナー、情報窃盗ツール
- システムの侵害を深刻化または拡大させる追加の悪意のあるプログラム
JelusRATが深刻なリスクとなる理由
JelusRATは、ステルス性に優れ、非常に柔軟性の高い脅威として際立っています。メモリ内での実行、自己削除動作、そしてプラグインベースの設計により、感染システムに対して持続的かつ柔軟な制御を維持しながら、検出を回避します。これらの特性により、JelusRATはより破壊的なマルウェアや大規模なサイバー犯罪活動の起点として容易に利用され、特に危険です。
一般的な感染ベクターと拡散方法
JelusRATのようなマルウェアは、ソーシャルエンジニアリングやオンライン上での欺瞞行為を通じて拡散することが最も多いです。攻撃者は通常、実行ファイル、スクリプト、Word、Excel、PDF、ISOイメージなどのドキュメント形式など、正規のコンテンツに偽装した悪意のあるファイルを被害者に実行させます。感染キャンペーンでは、フィッシングメール、偽広告、テクニカルサポート詐欺、海賊版ソフトウェア、侵害されたウェブサイトなどを利用して、これらのペイロードを拡散させることがよくあります。
その他の確立された配布経路としては、感染したUSBドライブ、ピアツーピアネットワーク、サードパーティのダウンロードユーティリティ、パッチ未適用のソフトウェアの脆弱性の悪用などが挙げられます。ほとんどの場合、感染は、ユーザーが気づかないうちにマルウェアに足場を与えるような操作をするように仕向けられることで発生します。
