NonEuclid RAT Detection: Malware Enables Adversaries to Gain Unauthorized Remote Access and Control Over a Targeted System

現代のサイバー脅威の状況は、攻撃者に標的システムの完全なリモート・コントロールを許可するマルウェア変種の増加によって特徴づけられています。例えば、悪意のある Remcos RAT フィッシング 攻撃ベクトル経由で拡散されます。2025年1月の変わり目に、防御者はNonEuclid RATと呼ばれる新たなステルス性のマルウェアが出現したことを発表しました。これは高度な検出回避技術、特権昇格、ランサムウェア暗号化などの洗練された攻撃能力を備えています。 attack vector. At the turn of January 2025, defenders unveiled an emerging stealthy malware dubbed NonEuclid RAT, which is enriched with sophisticated offensive capabilities, like advanced detection evasion techniques, privilege escalation, and ransomware encryption.

NonEuclid RATの攻撃を検出する

過去1年間で、サイバーセキュリティ研究者は グローバルなマルウェア量が2023年と比べて30%上昇している ことを記録し、世界中で悪意のある活動の持続的な増加を強調しました。この急増は、サイバー脅威の洗練性の高まりと、セキュリティチームが直面する課題の増加を示しています。

新たに出現する脅威に効果的に対抗するために、サイバー防御者は進化する攻撃パターンにリアルタイムで洞察を提供するCTI強化型の検出ルールにアクセスする必要があります。 SOC Primeプラットフォーム を利用して、NonEuclid RATのような新興脅威に対応するために、進化する脅威の検出と追跡をサポートする完全な製品スイートでチームを装備してください。

下の 検出を探索 ボタンをクリックして、NonEuclid RAT攻撃をカバーするSigmaルールセットにすぐにドリルダウンします。すべてのルールは MITRE ATT&CKフレームワーク にマップされ、30以上のSIEM、EDR、データレイクソリューションと互換性があります。さらに、ルールは脅威インテル、 メディアリンク、攻撃のタイムラインなどを含む広範なメタデータで強化されています。 NonEuclid RAT分析

検出を探索

CYFIRMAの研究者

CYFIRMA researchers が最近明らかにしたのは、新たなレベルのマルウェアの複雑さを展示しているEmerging Threatです。NonEuclid RATは.NET Framework 4.8向けに構築された新しいステルス性のあるC#ベースのマルウェアで、ランサムウェア暗号化、特権の昇格、検出回避の強化機能などを通じて検出を回避しながら犠牲者の環境への許可されていないリモートアクセスを提供するよう設計されています。

このマルウェアはハッキングフォーラムやソーシャルメディアで広く宣伝され、そのステルス機能、動的DLL読み込み、アンチVMチェック、AES暗号化で注目を集めています。NAZZEDというモニカーで知られる開発者が2021年10月からNonEuclidを宣伝しており、CYFIRMAはこのRATが複数のロシアのフォーラムやDiscordチャンネルで広く広告され、販売され、議論されていると指摘しており、サイバー犯罪者のサークルでの人気と高度な攻撃での使用を示しています。

マルウェアコードは多様なセキュリティ、アンチ検出、永続化機能でクライアントアプリケーションを初期化します。実行を遅らせ、設定を読み込むところから始めます。設定が失敗した場合、終了します。アプリは管理者特権を確保し、アンチ検出スキャンを実行し、ミューテックスを使用して重複インスタンスを防ぎます。アンチプロセスブロッキングとロギングがアクティブ化され、クライアントソケットがネットワーク接続のためにサーバーコミュニケーションを処理し、リンクが切れた場合に再接続を継続します。

TCPソケットが接続を開始し、バッファサイズを調整し、指定されたIPとポートに到達を試みます。一旦成功すると、ソケットをNetworkStreamにラップし、キープアライブとポンパケットのためのタイマーを設定し、非同期データ読み取りを開始します。接続プロパティは、ヘッダー、オフセット、間隔で構成され、接続が失敗した場合には状態をfalseに設定します。

NonEuclid RATは、検出を回避し、特権を昇格させ、影響を受けたコンピュータ上で永続化を確立するために、幅広い攻撃ツールを適用します。マルウェアのAntiScanメソッドはレジストリに除外を追加することでWindows Defenderを回避し、マルウェアのサーバーや実行ファイルのようなファイルがスキャンされないようにします。BlockメソッドはWindows API呼び出しを使用して“Taskmgr.exe”や“ProcessHacker.exe”のようなプロセスを監視し、終了させます。マルウェアはまた、コマンドウィンドウを非表示にして、指定された間隔でコマンドを実行するスケジュールされたタスクを作成します。BypassメソッドはWindowsレジストリを修正して制限を回避し、管理者権限が付与されていれば2次実行可能ファイルを起動させます。HKCUメソッドはHKEY_CURRENT_USERのレジストリキーを指定された値で更新します。

ランサムウェアの暗号化ツールとして、攻撃者は“.csv”、“.txt”、“.php”のようなファイルタイプをAESで暗号化し、それを“.NonEuclid”拡張子でリネームします。実行時に、NonEuclidは別々のフォルダに二つの実行ファイルをドロップし、これらがタスクスケジューラを通じて自動的に実行されるように設定されます。これにより、システムが再起動してもプロセス終了を試みてもマルウェアの活動が続けられるようにされます。

様々な人気プラットフォームでのマルウェア関連ディスカッションによって促進されるNonEuclid RATの人気の高まりは、その攻撃的な使用を拡大するための協調的な努力を示しており、サイバーセキュリティ専門家による警戒強化が求められています。このような脅威に対抗するためには、プロアクティブな戦略、継続的な監視、進化するサイバー犯罪者の戦術に関する認識が必要です。 SOC Primeプラットフォーム 集合的なサイバー防御のために、進化した検出エンジニアリング、プロアクティブな脅威検出、自動化された脅威追跡のための最先端技術をグローバルな組織に提供します。これを利用することで、 Emerging Threats feedを活用し、行動可能な脅威インテル、関連する検出ルール、AI強化されたコンテキストへの一元的なアクセスをセキュリティチームが迅速に得られ、常に adversaries に先んじることができます。