ResolverRAT マルウェア
サイバーセキュリティ研究者は、ResolverRATと呼ばれる高度なリモートアクセス型トロイの木馬を特定しました。このトロイの木馬は、医療・製薬業界を標的とした攻撃で積極的に利用されています。この新たに発見されたマルウェアは、そのステルス性の高い動作と複雑な感染メカニズムにより、深刻なリスクをもたらします。
目次
フィッシングの戦術:恐怖を武器にする
このキャンペーンは、受信者を恐怖に陥れ、悪意のあるリンクをクリックさせるように仕組まれたフィッシングメールから始まります。これらのおとりメールには、しばしば法的トラブルや著作権侵害が言及されており、パニックを誘発し、衝動的な反応を誘発するように設計されています。リンクをクリックすると、ResolverRAT感染チェーンを開始するファイルがダウンロードされます。
地域特有の欺瞞
このキャンペーンで際立った特徴は、ローカライズされたフィッシングコンテンツの使用です。メールは標的地域の母国語(ヒンディー語、イタリア語、チェコ語、トルコ語、ポルトガル語、インドネシア語)で書かれており、地域特有のカスタマイズによって感染の成功率を高めようとする攻撃者の意図が浮き彫りになっています。
感染メカニズム:ステルス的な連鎖反応
ResolverRATはDLLサイドローディングを用いて感染チェーンを開始します。第一段階では、メモリ内ローダーを用いてプライマリペイロードを復号・実行します。プライマリペイロードは暗号化・圧縮されており、ディスクに書き込まれることはありません。これらの手法により、ResolverRATは従来のセキュリティツールによる検出を回避しています。
冗長性による回復力
このマルウェアはステルス性だけでなく、生存性も考慮して設計されています。ResolverRATは、冗長化された永続化メカニズムを備えた多段階のブートストラッププロセスを使用して、Windowsファイルシステムとレジストリの様々な場所に自身を埋め込みます。これにより、マルウェアの一部が削除されたとしても、再出現することが可能になります。
高度なC2インフラストラクチャ:ありふれた視界に隠れる
ResolverRATはアクティブになると、コマンドアンドコントロール(C2)サーバーとの通信に証明書ベースの認証を開始し、ルート権限の検証を回避します。さらに、C2サーバーがダウンした場合にIPローテーション機能を使用してC2サーバーを切り替えることで、検出と削除の取り組みをさらに複雑化します。
回避の熟練:目に見えないが、存在する
ResolverRATは、検知を逃れるために、証明書のピン留め、ソースコードの難読化、そして不規則なビーコンパターンを活用します。これらの手法は、存在を隠すだけでなく、セキュリティシステムで使用されている標準的な検出技術を回避します。
サイレントデータ流出
このマルウェアの主な目的は、C2サーバーからのコマンドを受信し、データを盗み出すことです。大きなデータファイルを巧みに16KB単位に分割することで、ネットワーク監視ツールによる検出リスクを低減します。
原因はまだ不明だが、パターンが浮かび上がっている
攻撃キャンペーンの出所は未だ不明ですが、インフラ、テーマ、そして特にDLLサイドローディングとフィッシング詐欺の使用といった手法における類似性は、過去に記録された攻撃との関連性を示唆しています。この重複は、共通のアフィリエイトネットワーク、あるいは組織的な脅威アクターの活動を示している可能性があります。
結論:持続的かつ回避的なサイバー脅威
ResolverRATは、ステルス性、適応性、そして回復力に優れた次世代マルウェアの典型です。その設計は、現代のサイバーセキュリティ防御に対する高度な理解を反映しており、標的となる業界にとって手強い脅威となり、防御側にとって最優先事項となっています。
