PureRATマルウェア
サイバーセキュリティ研究者らは、ロシアの組織を標的とした大規模なフィッシング攻撃キャンペーンを発見しました。このキャンペーンは「PureRAT」と呼ばれるバックドア型マルウェアを拡散させています。この攻撃キャンペーンは2023年3月に開始されましたが、2025年初頭に急増し、2024年の同時期に確認された攻撃件数の4倍に増加しました。特定の攻撃者は特定されていませんが、使用された手法とマルウェアは、高度に組織化された活動であることを示唆しています。
目次
欺瞞的な配信:攻撃の解剖
攻撃は、.RARアーカイブまたはダウンロードリンクを含むフィッシングメールから始まります。このアーカイブは、紛らわしい二重拡張子(例:doc_054_[redacted].pdf.rar)で偽装され、Microsoft WordファイルまたはPDFファイルを装っています。被害者がファイルを開くと、中の実行ファイルが起動されます。
この実行ファイルは、いくつかのステルスアクションを実行します。
- task.exe として %AppData% にコピーします
- 永続化のためにスタートアップフォルダに Task.vbs スクリプトを作成します
- ckcfb.exe を抽出して実行します
次に、ckcfb.exe は InstallUtil.exe を使用して復号されたモジュールを実行します。また、PureRAT の主要なペイロードを含む Spydgozoi.dll も復号して読み込みます。
リモートコントロール:PureRATでできること
PureRATは足場を築いた後、コマンドアンドコントロール(C2)サーバーとの暗号化された接続を確立し、システム情報を中継します。その後、以下のような不正なモジュールを受信して実行します。
プラグインPCオプション
- 自己削除を実行する
- マルウェアのプロセスを再起動する
- システムをシャットダウンまたは再起動します
プラグインウィンドウ通知
- アクティブなウィンドウを監視して機密キーワード(パスワード、銀行など)を検出します
- 不正な資金移動などの行為を開始する可能性がある
プラグインクリッパー
- コピーされた暗号通貨ウォレットアドレスを攻撃者が管理するアドレスに置き換える
さらに、PureRAT は攻撃者に次のものを提供します。
- キーロギング
- リモートデスクトップコントロール
- ファイル、レジストリ、カメラ、マイク、実行中のプロセスへのアクセス
階層型感染:PureRAT だけではない
最初の実行ファイルは、2022年から流通しているPureCrypterとして知られる商用ダウンローダーであるStilKrip.exeも抽出します。このツールは、二次ファイルであるBghwwhmlr.wavをダウンロードし、新たな実行チェーンを開始します。このシーケンスは最終的にTtcxxewxtly.exeを起動し、PureLogsとして知られる2つ目のマルウェア株のコアコンポーネントであるBftvbho.dllのアクティベーションにつながります。
PureLogsは強力な情報窃取ツールとして機能します。起動すると、Webブラウザ、メールクライアント、VPNサービス、メッセージングアプリケーションから、認証情報やユーザー情報など、幅広い機密データを密かに収集します。また、パスワードマネージャー、暗号通貨ウォレットアプリケーション、そしてFileZillaやWinSCPといった広く使用されているファイル転送ツールも標的とし、攻撃者は個人データと組織データの両方に深くアクセスできるようになります。
結論:メールは依然として最も弱いリンク
PureRATとPureLogsの組み合わせにより、サイバー犯罪者は侵害されたシステムを監視、収集、制御するための広範な機能を手に入れることになります。有害な添付ファイルやリンクを含むフィッシングメールは依然として主要な侵入経路であり、組織のサイバーセキュリティ対策において、強力なメールフィルタリングとユーザーアウェアネスが極めて重要であることが浮き彫りになっています。
