MysterySnail RAT

MysterySnail RATは、infosecの研究者による調査結果によると、中国のAPT（Advanced Persistent Threat）グループIronHuskyに関連している脅威です。この脅威はリモートシェルタイプのトロイの木馬として説明されており、8.29MBと非常に大きいです。サイズが異常な理由はいくつかあります。まず、MysterySnail RATはOpenSSLライブラリを使用して静的にコンパイルされ、そのライブラリからの未使用のコードが含まれています。次に、プロセッサのクロックサイクルを浪費する以外に実用的な目的がない2つの大きな関数が含まれています。

余分なコードの大きなチャンクが含まれる理由として考えられるのは、脅威の検出およびエミュレーション機能を強化するためです。この結論は、実際のタスクを実行するのは1つだけであるのに、さまざまな冗長ロジックと複数のエクスポートされた関数を含めることによってもサポートされます。

MysterySnailRATの詳細

全体として、MysterySnail RATは、このタイプの最も洗練された脅威の1つではありません。ただし、挿入されたディスクドライブの検出やプロキシとしての機能など、機能の拡張リスト（脅威は合計20の異なるコマンドを認識できます）で補正します。 Command-and-Control（C＆C、C2）サーバーから適切なコマンドを受信すると、脅威は、選択されたファイルを作成、読み取り、アップロード、または削除することにより、侵入先のシステムのファイルシステムを操作することができます。 MysterySnail RATは、プロセスを開始または終了することもできます。さらに、コマンドプロンプトウィンドウを開いて、攻撃者が任意のコマンドを実行できるようにすることができます。

MysterySnail RATによって実行される最初のアクションの1つは、侵害されたシステムに関するデータを収集することです。このマルウェアは、コンピューター名、Windows製品名、IPアドレス、ユーザー名などの詳細を収集します。収集されたすべての情報は、C2サーバーにアップロードされます。サーバーのアドレスに関しては、分析された脅威サンプルには、おとりとして機能するプレーンテキストで保存された2つのハードコードされたURLがありました。実際のURLは、「http [。] ddspadus [。] com」アドレスを配信する1バイトのxorによってデコードされます。