RAT malware

中国語を話すIronHuskyのハッカーは、アップグレードされたMysterySnailリモート・アクセス・トロージャン(RAT)マルウェアを使用して、ロシアとモンゴルの政府組織を標的にしています。

カスペルスキーのグローバル・リサーチ・アンド・アナリシス・チーム(GReAT)のセキュリティ研究者は、攻撃者がWord文書に見せかけた悪意のあるMMCスクリプトを使用してRATマルウェアを展開する最近の攻撃を調査している際に、更新されたインプラントを発見しました。

悪意のあるペイロードの1つは、コマンド&コントロール・サーバーとハッキングされたデバイス間のファイル転送、コマンドシェルの実行、新しいプロセスの作成、ファイルの削除などを支援する未知の仲介バックドアです。

「私たちの遠隔測定では、これらのファイルは、2021年に私たちが説明したMysterySnail RATマルウェアの足跡を残していることが判明しました。観測された感染事例では、MysterySnail RATは、侵害されたマシン上でサービスとして存続するように設定されていました」とカスペルスキーは述べています

「注目すべきは、MysterySnail RATに関連する最近の侵入をブロックした後しばらくして、攻撃者がMysterySnail RATを再利用したより軽量なバージョンを展開し、攻撃を継続していることです。このバージョンは単一のコンポーネントで構成されているため、MysteryMonoSnailと名付けました。

彼らが発見したように、アップグレードされたRATマルウェアは数十のコマンドをサポートしており、攻撃者は侵害されたデバイス上のサービスの管理、シェルコマンドの実行、プロセスのスポーンおよびキル、ファイルの管理などを行うことができます。

最初に発見されたのは約4年前

この最新のバックドア・バージョンは、カスペルスキーが2021年8月下旬にロシアとモンゴルのIT企業、軍事/防衛関連請負業者、外交機関に対する広範なスパイ攻撃で初めて検出したオリジナルのMysterySnail RATに類似しています。

当時、IronHusky ハッキング・グループは、Windows Win32k カーネル・ドライバの脆弱性(CVE-2021-40449)を標的としたゼロデイ・エクスプロイトを使用して侵害されたシステム上にこのマルウェアを展開していることが確認されていました。

この中国APTは2017年、ロシアとモンゴルの軍事交渉に関する情報収集を最終目的として、ロシアとモンゴルの政府機関を標的にしたキャンペーンを調査していた際に、カスペルスキーによって初めて発見された

その1年後、カスペルスキーはまた、彼らがMicrosoft Officeのメモリ破損の脆弱性(CVE-2017-11882)を悪用して、PoisonIvyやPlugXなど、中国のハッキンググループが典型的に使用するRATを拡散しているのを観測した

木曜日に発表されたカスペルスキーのレポートには、MysterySnail RATを使用したIronHuskyの最近の攻撃に関する侵害の指標と追加の技術的詳細が含まれています。