Threat Insight：2019年、RATの年を振り返る

本ブログは、英語版ブログ「https://www.proofpoint.com/us/threat-insight/post/threat-insight-2019-review-year-rat」の翻訳です。

概要

2019年はもう終わってしまいましたが、その影響は長く残りますし、状況がすぐに変わるわけでもありません。2019年を振り返ってみることには意味があります。

2019年の重要なハイライトは、金銭を狙う脅威アクターの間でリモートアクセス型トロイの木馬（RAT）の人気が高まったことですが、新しい年にもそれは引き継がれるでしょう。

2019年にRATとの親密さを増したアクターには、非常に活動的なTA505が含まれていす。TA505は、昨年1月上旬にFlawedGrace RATと新しいバックドアServHelperを採用し、夏の間は新しいRATであるSDBbotに加えてAndroMutとGet2の2つの新しいダウンローダーを使ってRATの配信を継続しました。多様なマルウェアペイロードを扱うTA516は脅威アクターの嗜好のバロメーターといえますが、2019年第2四半期と第3四半期の大部分をRemcos RATキャンペーンの配信に費やし、12月31日には新しいRemcosキャンペーンで年を終えました。

2019年第1四半期

TA505は1月上旬に、FlawedGrace RATを配信するために使用される新しいバックドアであるServHelperによって活動を開始しました。2月、Proofpointの研究者は、More_eggsバックドアを配信するために使用される求人案内に似せたフィッシングルアーについて報告しました。その多くは、RATやその他のトロイの木馬、あるいはスティーラーをセカンダリペイロードとしてダウンロードしました。3月にはProofpointの研究者がNymaimの構造をリバースエンジニアリングしました。このダウンローダーは、セカンダリペイロードをダウンロードし、追加機能として独自のモジュールをインストールするために、多数の脅威アクターによって使用されてきました。さらに3月には、Proofpointの研究者が「Malware-as-a-Service」として提供されている人気のあるバンキング型トロイの木馬であるDanabotのサーバー側コンポーネントの特性を明らかにしました。

• ServHelper and FlawedGrace - New malware introduced by TA505
• Fake Jobs: Campaigns Delivering More_eggs Backdoor via Fake Job Offers
• Nymaim config decoded
• DanaBot control panel revealed

2019年第2四半期

工夫されたフィッシングルアー、クレデンシャルダンプ、およびレガシーな電子メールプロトコルとAPIの悪用という、従来から実証されている手法は、2019年第2四半期にも引き続き脅威の攻撃者にとって効果的なTTPであることが判明しましたが、マルウェアもまた進化し続けました。NetwireなどのRATは、金融機関を狙った税金をテーマにしたフィッシングメールキャンペーンで使用され、KPOTなどのスティーラーは、ゼロ・パーシステンスやメモリ内実行などの新機能で進化を続け、ユーザーのクレデンシャルをこっそり盗み出しました。

• 脅威アクターは、クレデンシャルダンプ、フィッシングおよびレガシーな電子メールプロトコルを悪用してMFAを回避し、世界中のクラウドアカウントを侵害している
• Tax-themed Email Campaigns Target 2019 Filers
• 脅威アクターがGitHubサービスを悪用してさまざまなフィッシングキットをホスト
• 2019: The Return of Retefe
• New KPOT v2.0 stealer brings zero persistence and in-memory features to silently steal credentials
• Threat Actor Profile: TA542, From Banker to Malware Distribution Service
• Beyond “North America” - Threat actors target Canada specifically
• 日本ではURLZoneがトップマルウェアに また、EmotetとLINEフィッシングも拡大

2019年第3四半期

第3四半期は、RATと洗練された多機能のモジュール型マルウェアの配信にとって特に忙しい時期でした。7月上旬、TA505は新しいローダーであるAndroMutと共に戻って来てFlawedAmmy RATを配信しました。7月と8月に、Proofpointの研究者は中国のAPTグループ「Operation LagTime IT」がCotx RATを使用して政府のIT機関を標的にしたことを観察しましたが、別のアクターグループは、LookBackと呼ばれるマルウェアを使用して米国の公共インフラを標的にしました。Lookbackはさまざまな機能に加えてRATモジュールを備えています。9月には、アダルトコンテンツサイトで使用されるキーワードをトリガーとして被害者のデスクトップのオンスクリーンビデオをキャプチャする機能など、新しいセクストレーション機能を備えてPsixBotが登場しました。

• BrushaLoader still sweeping up victims one year later
• TA505が新しいマルウェアダウンローダー「AndroMut」を使った夏のキャンペーンを開始 アラブ首長国連邦、韓国、シンガポールおよび米国が標的
• Chinese APT “Operation LagTime IT” Targets Government Information Technology Agencies in Eastern Asia
• 脅威アクターのプロフィール： 日本とイタリアという離れた地域をさまざまなマルウェアを使って狙うTA544
• SystemBC is like Christmas in July for SOCKS5 Malware and Exploit Kits
• LookBack Malware Targets the United States Utilities Sector with Phishing Attacks Impersonating Engineering Licensing Boards
• LookBack Forges Ahead: Continued Targeting of the United States’ Utilities Sector Reveals Additional Adversary TTPs
• XOR難読化を使用したフィッシングアクターがAWSのクラウドストレージに移行
• Seems Phishy: Back to School Lures Target University Students and Staff
• PsiXBot Now Using Google DNS over HTTPS and Possible New Sexploitation Module
• New WhiteShadow downloader uses Microsoft SQL to retrieve malware

2019年第4四半期

10月、TA505はSDBbotを導入し、RATの配信を倍増させました。これは、9月にFlawedAmmyおよびFlawedGrace RATを配信するために使用された新しいダウンローダーであるGet2と組み合わせられました。11月、Proofpointが追跡する新しい脅威アクターであるTA2101が、ドイツ、イタリア、米国の政府機関のブランドを使用して、商用のペネトレーションテストソフトウェアであるCobalt Strike（多機能マルウェアとしても頻繁に悪用される）を配信することが確認されました。12月、新しいダウンローダーであるBuerが闇市場に登場し、ロシア語圏の脅威アクターに販売されました。これにはコンテナ化されたインストーラや、使いやすいコントロールパネルを含む幅広い機能セットが備わっています。

• Get2ダウンローダーを使って新型のSDBbotリモートアクセス型トロイの木馬（RAT）を配信するTA505
• Threat Actor Profile: TA407, The Silent Librarian
• 政府機関になりすましてドイツ、イタリアおよび米国の組織を狙うTA2101
• Buer, a new loader emerges in the underground marketplace

結論

2019年、フィッシングルアーやその他のソーシャルエンジニアリングなどの人的要因（Human Factor）を悪用した戦術、手法、手順（TTP：tactics, techniques, and procedures）は、引き続き世界中の組織にとって主要な脅威でした。Proofpointの研究者が追跡しているマルウェアの中でも、Ursnifのようなバンキング型トロイの木馬やEmotetのようなモジュール型ボットなどの堅牢なマルウェアが、物量をリードしました。しかし昨年1年間に観測された活動全体を見ると、RATやバックドアなどのフル機能のマルウェアがますます一般的になり、脅威ランドスケープは多目的マルウェアに支配されています。これらは脅威アクターに将来の柔軟性を提供し、クレデンシャル窃取、ランサムウェアのドロップ、脅迫のためのデスクトップビデオのキャプチャ、またはネットワークのプロファイリングを可能にします。