複数ライセンス割引見積
脅威データベース マルウェア RTX RAT

RTX RAT

マルウェア, リモート管理ツールMezoまで
翻訳内容:

CPUIDに関連するセキュリティインシデントにより、公式ウェブサイトcpuid.comを通じてユーザーが悪意のあるソフトウェアに感染するリスクにさらされました。攻撃者は24時間足らずの間、ダウンロードリンクを操作して、広く使用されているハードウェア監視ツールの感染版を配布することに成功しました。

この侵害は、4月9日15:00(UTC)から4月10日10:00(UTC)の間に発生し、正規のインストーラーリンクが断続的に悪意のあるリダイレクトに置き換えられました。重要な点として、CPUIDは、この侵害はコアソフトウェア自体を変更するのではなく、ウェブサイトに有害なリンクをランダムに表示させる二次的な機能(実質的にはサイドAPI)に起因するものであり、オリジナルの署名済みバイナリは無傷のままであったことを確認しました。

悪意のあるインフラストラクチャ:攻撃の背後にある不正ドメイン

サイバーセキュリティ研究者による調査で、トロイの木馬化されたペイロードをホストおよび配信するために使用された複数のドメインが特定されました。これらの不正なウェブサイトは、疑いを持たないユーザーを不正なダウンロードページに誘導する上で中心的な役割を果たしていました。

  • cahayailmukreatif.web[.]id
  • pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev
  • transopalermo[.]com
  • バトロブラン[.]hr

これらのドメインは、マルウェアの配布やコマンド&コントロール作戦を支援するために設計された、より広範なインフラストラクチャの一部を構成していた。

ステルス配信メカニズム:DLLサイドローディングの悪用

攻撃者は、DLLサイドローディングと呼ばれるよく知られた回避手法を用いた。悪意のあるパッケージは、ZIPアーカイブとスタンドアロンインストーラの両方の形式で配布され、それぞれに正規の署名付き実行ファイルと「CRYPTBASE.dll」という名前の不正なダイナミックリンクライブラリの2つのコンポーネントが含まれていた。

署名付きバイナリに対する信頼を悪用することで、悪意のあるDLLは実行時にロードされ、密かに侵害が行われた。マルウェアは、さらなる動作を開始する前に、分析環境での検出を回避するためにアンチサンドボックスチェックを実行した。これらのチェックを通過すると、外部サーバーに接続して追加のペイロードを取得した。

STX RATの展開:多用途なポストエクスプロイトツール

このキャンペーンの最終目標は、隠し仮想ネットワークコンピューティング(HVNC)機能と広範なデータ窃盗機能を備えた強力なリモートアクセス型トロイの木馬であるSTX RATを配備することであった。

このマルウェアにより、攻撃者は感染したシステムを永続的に制御し、以下のような多岐にわたるポストエクスプロイト活動を実行できます。

  • EXE、DLL、PowerShellスクリプト、シェルコードのメモリ内実行
  • リバースプロキシとネットワークトンネリング
  • リモートデスクトップ操作と監視

こうした機能により、STX RATは個人環境と企業環境の両方において特に危険な存在となっている。

キャンペーンの重複:過去のFileZilla攻撃との関連性

分析の結果、今回の事件で使用されたコマンド&コントロール(C2)インフラは、以前にトロイの木馬化されたFileZillaインストーラーを用いた別の攻撃キャンペーンで使用されていたことが判明した。同じサーバー構成と通信ドメインが再利用されていることから、両キャンペーン間で作戦上の重複があったことが強く示唆される。

こうした戦術、技術、インフラの反復は、検出と犯人特定のための貴重な指標となった。

長期作戦:10ヶ月間のキャンペーンタイムライン

さらなる調査の結果、CPUIDの侵害は2025年7月に始まったより広範なキャンペーンの一部であることが示唆された。最も初期に確認されたマルウェアサンプルは「superbad.exe」と特定され、95.216.51.236のコマンド&コントロールサーバーと通信していることが確認された。

セキュリティ専門家は、この脅威アクターはロシア語を話す可能性が高く、金銭的な動機を持っているか、あるいは初期アクセスブローカーとして機能している可能性があると分析している。初期アクセスブローカーとは、システムへの足がかりを得て、そのアクセス権を他のサイバー犯罪者に販売することを専門とする組織である。

影響評価:多様な被害者を抱えるグローバルな広がり

今回の攻撃により、150人以上の被害者が確認されており、その大半は個人ユーザーである。しかし、小売、製造、コンサルティング、通信、農業など、複数の業界の組織も被害を受けている。

地理的に見ると、感染者の大半はブラジル、ロシア、中国で確認されており、広範囲にわたる機会主義的な標的戦略が示唆される。

運用上の弱点:発見につながったエラー

キャンペーンの規模は大きかったものの、いくつかの運用上のセキュリティ上の不備により、攻撃者の有効性は著しく損なわれた。以前のキャンペーンで使用された感染経路、STX RATペイロード、コマンド&コントロールドメインが再利用されたため、活動の追跡と関連付けが容易になった。

これらの欠点は、マルウェアの開発および展開手法における洗練度が比較的低いことを示唆している。その結果、防御側は攻撃開始後すぐにウォーターリングホール攻撃を検知することができ、全体的な影響と被害期間を限定することができた。


トレンド

検証手順に関する通知

マルウェア, 不正なウェブサイト
認証手順通知は、偽のCAPTCHAや人間認証プロンプトを悪用してユーザーを操作し、有害な行動を取らせることで、深刻なリスクをもたらします。正規の認証システムを装ったこれらのページは、信頼できるCAPTCHAサービスを模倣していることが多く、人間の活動を検証する代わりに、コマンドのコピー、ブラウザ通知の有効化、システムセキュリティを最終的に危険にさらす欺瞞的なボタンのクリックなど、疑わしい手順...

SatoshiVM配布プログラム詐欺

不正なウェブサイト
オンラインでの安全確保は、かつてないほど重要になっています。サイバー脅威は進化を続け、経験豊富なユーザーでさえ、ますます巧妙化する詐欺の被害に遭う可能性があります。特に仮想通貨プラットフォームを利用する際は、細心の注意を払うことが不可欠です。たった一度のクリックや接続ミスが、取り返しのつかない金銭的損失につながる恐れがあります。 イノベーションの幻想:偽の暗号通貨プロジェクト 一見すると、ウ...

セキュリティ認証が必要なメール詐欺

フィッシング, スパム
予期せぬメールへの対応には、常に注意を払うことがオンラインセキュリティの維持に不可欠です。サイバー犯罪者は、信頼や緊急性を悪用するため、悪意のあるメッセージを正規の通信に見せかけることがよくあります。いわゆる「セキュリティ認証が必要です」というメール詐欺は、この手口の典型的な例です。これらのメールは、見た目は本物そっくりですが、実際には正規の企業、組織、サービスプロバイダーとは一切関係がありません。 「セキュリティ認証が必要」詐欺の詳細検証 詳細な分析によると、これらのメールはメールサービスプロバイダーからの公式セキュリティ通知を模倣するように作成されている。通常、受信者のアカウントへの...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
34,180
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
29,080
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Eporner.com

問題
25,053
インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
読み込んでいます...