MostereRAT検知：攻撃者がAnyDeskとTightVNCを悪用しWindowsシステムに持続的アクセス

フィッシングは、ソーシャルエンジニアリング攻撃を実行する手法として広く認識されています。最近、ディフェンダーは、WindowsデバイスにMostereRATを配布する非常に標的化されたフィッシングキャンペーンを特定しました。攻撃者は、高度な検知回避技術やソーシャルエンジニアリングを駆使し、AnyDeskやTightVNCなどの正規リモートアクセスソフトウェアを悪用することで、侵害されたシステムを長期的かつ秘密裏に制御することが可能になります。

MostereRAT攻撃の検知

2024年、フィッシングは世界中の組織で検知されたサイバー攻撃の約 25％を占めており、大部分は悪意のあるリンクやファイル添付によって拡散されました。フィッシング攻撃の経済的損失は年々増加しており、平均的な侵害のコストは約488万ドルに達しています。MostereRATマルウェアを使用した最近のWindowsユーザーを対象とするキャンペーンは、フィッシングが依然として攻撃者にとって信頼できる武器であることを示しており、ディフェンダーが迅速かつ積極的に対応する必要性を強調しています。

SOC Primeプラットフォームにサインアップして、組織に対する潜在的な攻撃を早期に検知しましょう。プラットフォームには、MostereRAT感染に関連するTTPを対象とした専用のSigmaルールセットが用意されています。以下の 検知を確認ボタンをクリックすると、アクション可能なCTIを統合したルールにアクセスでき、高度な脅威検知とハンティングのための包括的な製品スイートでサポートされます。

検知を確認

SOC Primeプラットフォームの全ルールは、複数のSIEM、EDR、およびData Lakeソリューションと互換性があり、 MITRE ATT&CK®フレームワーク にマッピングされています。さらに、各ルールには 脅威インテリジェンスの参照、攻撃タイムライン、トリアージ推奨事項などの詳細なメタデータが含まれています。

加えて、セキュリティ専門家は、検知エンジニアリングを効率化するために UncoderというプライベートIDE＆AIコパイロットを使用できます。最新のUncoder AI アップデートでは、新しいAIチャットボットモードとMCPツールを導入し、サイバーディフェンダーが検知エンジニアリング業務をエンドツーエンドで管理できるようになっています。任意の言語でカスタムプロンプトを入力するか、対話型のユーザーフレンドリーなインターフェースで事前構築されたタスクを選択できます。Fortinetの最新 レポートを使用すれば、MostereRATに関する攻撃フローをワンクリックで生成可能です。

MostereRAT分析

攻撃者は、悪意ある活動をサポートするために正規ソフトウェアを悪用することが頻繁にあります。例えば、広く使用されているリモートアクセスプログラムの AnyDeskは、攻撃者の作戦で一般的に悪用される対象となっています。

FortiGuard Labsの研究者は、MostereRATを展開し、Windowsシステムで長期的にステルスアクセスを維持する高度なフィッシング作戦を明らかにしました。このキャンペーンでは、Easy Programming Language（EPL）を使用して段階的なペイロードを作成し、悪意ある活動を隠蔽し、検知を回避するためのセキュリティ防御を無効化、相互TLSでC2通信を保護、追加ペイロード配布の複数の手法を可能にしています。さらに、侵害したマシンを完全に制御するために、AnyDeskやTightVNCなどの正規リモートアクセスツールを悪用しています。

感染フローは、日本のユーザーを標的としたフィッシングメールから始まり、正規のビジネス問い合わせを装って受信者を悪意のあるリンクへ誘導します。感染サイトへのアクセスにより、埋め込みアーカイブを含むWordファイルが自動または手動でダウンロードされます。被害者はアーカイブを開き、wxWidgetsのGitHubサンプルから適応された単一の実行ファイルを実行するよう指示されます。このファイルは暗号化されたリソース（RMMツールや画像など）をC:\ProgramData\Windowsに展開し、単純なSUB操作で復号されます。

マルウェアはカスタムRPCクライアント（CreateSvcRpc）を使用して、SYSTEMレベルのサービスを作成することで永続性を確立します。一つのサービスWpnCoreSvcは起動時の自動実行を保証し、WinSvc_は攻撃者提供のペイロードをオンデマンドで起動します。終了前に、マルウェアは偽の簡体字エラーメッセージを表示し、ソーシャルエンジニアリングによる拡散を助長します。

次の段階では、EPKランチャーが悪意あるファイル（svchost.exeおよびsvchost.db）を使用して読み込むモジュールを決定します。権限を昇格させるためにSeDebugPrivilegeを有効化、SYSTEMトークンを複製、TrustedInstallerアカウントを利用して管理者権限でプロセスを起動します。さらに、ハードコードされたAVおよびEDR製品リストとインストールパスを利用し、これらを体系的に特定して無効化します。MostereRATは、Windows Filtering Platformフィルターを使用して、セキュリティツールが検知データ、ログ、アラートを送信するのをブロックすることもあります。この手法はRed TeamツールEDRSilencerから応用されたと報告されています。

制御を維持するために、マルウェアはWindowsアップデートとセキュリティを無効化し、主要プロセスを終了、更新サービスを停止、システムファイルを削除します。また、AnyDesk、Xray、TigerVNCなどのリモートアクセスおよびプロキシツールを設定から直接展開します。ツールキットはRDP Wrapperも統合しており、レジストリの変更を通じてRDP設定（マルチセッションログインなど）を変更または復元できます。

MostereRATを拡散する最新キャンペーンは、感染拡大にソーシャルエンジニアリングを使用し、レーダーの下で隠れるための高度な攻撃者戦術を駆使、正規リモートアクセスツールでシステム制御を取得します。この手法は検知と分析を大幅に困難にするため、ソリューションの定期的な更新とユーザーのソーシャルエンジニアリングリスクに対する継続的な意識向上が重要です。AI、オートメーション、リアルタイム脅威インテリジェンスを備えた SOC Primeの製品スイートに依存して、あらゆる高度なフィッシング攻撃や新たな脅威から積極的に防御し、堅牢なサイバーセキュリティ体制を維持しましょう。