PY#RATION RAT

新たな攻撃キャンペーンが発生しました。脅迫的な操作では、PY#RATION RAT と呼ばれる新しい Python ベースのマルウェアが使用されます。これらのリモート アクセス型トロイの木馬 (RAT) によくあることですが、PY#RATION には、データの流出やキーロギングなど、有害な機能の包括的なセットがあります。この脅威を特にユニークなものにしているのは、コマンド アンド コントロール (C2、C&C) 通信と情報漏えいの両方に WebSocket を使用していることと、マルウェア対策ソリューションやネットワーク セキュリティ対策からの検出を回避する能力です。

PY#RATION RAT に関する詳細は、サイバーセキュリティ研究者によるレポートで明らかにされています。彼らの調査結果によると、脅威の背後にいるサイバー犯罪者は、攻撃の一部として使用されたフィッシングルアーから判断すると、主に英国または北米の標的に焦点を当てています.

PY#RATIONのアタックチェーン

攻撃は、ZIP アーカイブを含む詐欺的なフィッシング メールから始まります。アーカイブ内には 2 つのショートカット (.LNK) ファイルがあり、本物と思われる英国の運転免許証の表と裏の画像を装っています。これらの .LNK ファイルを開くと、2 つのテキスト ファイルがリモート サーバーから取得され、.BAT ファイルとして保存されます。

被害者におとりの画像が表示されている間、有害なファイルはシステムのバックグラウンドで静かに実行されます。さらに、「CortanaAssistance.exe」という名前の Python バイナリなど、他のペイロードを取得する別のバッチ スクリプトが C2 サーバーからダウンロードされます。 Microsoft の仮想アシスタントである Cortana の使用は、攻撃者が破損したコードを正当なシステム ファイルに偽装しようとした可能性があることを意味します。

PY#RATION RATの有害な能力

2 つの PY#RATION トロイの木馬バージョン (バージョン 1.0 および 1.6) が検出されました。新しいバージョンには、約 1,000 行の追加コードが含まれており、侵害されたネットワークを調べるネットワーク スキャン機能と、fernet モジュールを使用した Python コード上の暗号化レイヤーが追加されています。さらに、この脅威は、侵害されたホストからその C2 サーバーにファイルを転送したり、その逆を行ったりする可能性があります。

RAT は、キーストロークの記録、システム コマンドの実行、Web ブラウザからのパスワードと Cookie の抽出、クリップボード データのキャプチャ、およびセキュリティ ソフトウェアの存在の検出を開始できます。攻撃者は、PY#RATION を他の脅威のペイロードを展開するためのゲートウェイとして利用できます。たとえば、Web ブラウザや暗号通貨ウォレットからデータを収集するために明示的に作成された別の Python ベースの情報スティーラーなどです。