Threat Insight:2019年、RATの年を振り返る

本ブログは、英語版ブログ「https://www.proofpoint.com/us/threat-insight/post/threat-insight-2019-review-year-rat」の翻訳です。

概要

2019年はもう終わってしまいましたが、その影響は長く残りますし、状況がすぐに変わるわけでもありません。2019年を振り返ってみることには意味があります。

2019年の重要なハイライトは、金銭を狙う脅威アクターの間でリモートアクセス型トロイの木馬(RAT)の人気が高まったことですが、新しい年にもそれは引き継がれるでしょう。

2019年にRATとの親密さを増したアクターには、非常に活動的なTA505が含まれていす。TA505は、昨年1月上旬にFlawedGrace RATと新しいバックドアServHelperを採用し、夏の間は新しいRATであるSDBbotに加えてAndroMutとGet2の2つの新しいダウンローダーを使ってRATの配信を継続しました。多様なマルウェアペイロードを扱うTA516は脅威アクターの嗜好のバロメーターといえますが、2019年第2四半期と第3四半期の大部分をRemcos RATキャンペーンの配信に費やし、12月31日には新しいRemcosキャンペーンで年を終えました。

2019年第1四半期

TA505は1月上旬に、FlawedGrace RATを配信するために使用される新しいバックドアであるServHelperによって活動を開始しました。2月、Proofpointの研究者は、More_eggsバックドアを配信するために使用される求人案内に似せたフィッシングルアーについて報告しました。その多くは、RATやその他のトロイの木馬、あるいはスティーラーをセカンダリペイロードとしてダウンロードしました。3月にはProofpointの研究者がNymaimの構造をリバースエンジニアリングしました。このダウンローダーは、セカンダリペイロードをダウンロードし、追加機能として独自のモジュールをインストールするために、多数の脅威アクターによって使用されてきました。さらに3月には、Proofpointの研究者が「Malware-as-a-Service」として提供されている人気のあるバンキング型トロイの木馬であるDanabotのサーバー側コンポーネントの特性を明らかにしました。

2019年第2四半期

工夫されたフィッシングルアー、クレデンシャルダンプ、およびレガシーな電子メールプロトコルとAPIの悪用という、従来から実証されている手法は、2019年第2四半期にも引き続き脅威の攻撃者にとって効果的なTTPであることが判明しましたが、マルウェアもまた進化し続けました。NetwireなどのRATは、金融機関を狙った税金をテーマにしたフィッシングメールキャンペーンで使用され、KPOTなどのスティーラーは、ゼロ・パーシステンスやメモリ内実行などの新機能で進化を続け、ユーザーのクレデンシャルをこっそり盗み出しました。

2019年第3四半期

第3四半期は、RATと洗練された多機能のモジュール型マルウェアの配信にとって特に忙しい時期でした。7月上旬、TA505は新しいローダーであるAndroMutと共に戻って来てFlawedAmmy RATを配信しました。7月と8月に、Proofpointの研究者は中国のAPTグループ「Operation LagTime IT」がCotx RATを使用して政府のIT機関を標的にしたことを観察しましたが、別のアクターグループは、LookBackと呼ばれるマルウェアを使用して米国の公共インフラを標的にしました。Lookbackはさまざまな機能に加えてRATモジュールを備えています。9月には、アダルトコンテンツサイトで使用されるキーワードをトリガーとして被害者のデスクトップのオンスクリーンビデオをキャプチャする機能など、新しいセクストレーション機能を備えてPsixBotが登場しました。

2019年第4四半期

10月、TA505はSDBbotを導入し、RATの配信を倍増させました。これは、9月にFlawedAmmyおよびFlawedGrace RATを配信するために使用された新しいダウンローダーであるGet2と組み合わせられました。11月、Proofpointが追跡する新しい脅威アクターであるTA2101が、ドイツ、イタリア、米国の政府機関のブランドを使用して、商用のペネトレーションテストソフトウェアであるCobalt Strike(多機能マルウェアとしても頻繁に悪用される)を配信することが確認されました。12月、新しいダウンローダーであるBuerが闇市場に登場し、ロシア語圏の脅威アクターに販売されました。これにはコンテナ化されたインストーラや、使いやすいコントロールパネルを含む幅広い機能セットが備わっています。

結論

2019年、フィッシングルアーやその他のソーシャルエンジニアリングなどの人的要因(Human Factor)を悪用した戦術、手法、手順(TTP:tactics, techniques, and procedures)は、引き続き世界中の組織にとって主要な脅威でした。Proofpointの研究者が追跡しているマルウェアの中でも、Ursnifのようなバンキング型トロイの木馬やEmotetのようなモジュール型ボットなどの堅牢なマルウェアが、物量をリードしました。しかし昨年1年間に観測された活動全体を見ると、RATやバックドアなどのフル機能のマルウェアがますます一般的になり、脅威ランドスケープは多目的マルウェアに支配されています。これらは脅威アクターに将来の柔軟性を提供し、クレデンシャル窃取、ランサムウェアのドロップ、脅迫のためのデスクトップビデオのキャプチャ、またはネットワークのプロファイリングを可能にします。