Quasar RAT: 悪意のある後継者の検出

Quasarリモート管理ツール（RAT）は、多機能で軽量なマルウェアで、2014年からAPTアクターによって積極的に使われています。Quasarのコードはオープンソースプロジェクトとして公開されており、幅広いカスタマイズオプションにより、敵対者の間で非常に人気があります。その結果、Quasarマルウェアファミリー内にはさまざまなサンプルが存在します。多くのものが国が支援するアクターによって悪意のあるキャンペーンに使用されました。最近の悪名高い作戦は、APT10によって開始されました。

Quasar RATの説明

Quasarは、元々、ユーザーサポートや従業員監視のための正当なWindowsユーティリティとして開発されたリモートアクセスツールです。実際に開発者は 推進しています Quasarを、ほとんどのWindowsバージョンと互換性があり、使いやすく非常に安定したリモートアクセスソリューションとして。最初のバリアントは2014年7月に「xRAT」としてリリースされましたが、2015年にはQuasarと改名されました。これはおそらく、正当なソフトウェアとその悪意のある兄弟を区別するための試みでした。

2015年にGitHubで無料ダウンロードがリリースされた後、脅威アクターはこの多機能でカスタマイズ可能なソリューションに注目を向けました。たとえば、2017年にはGaza Cybergangグループが 活用しました Quasar RATを使って中東の政府を標的としました。2018年にはPatchwork APTが 攻撃 しました アメリカのシンクタンクを。2019年にはこのマルウェアが 発見されました 研究者が明らかにしました 日本の業界トップ企業を狙ったAPT10の長期作戦が。特に、中国政府が支援するAPT10グループ（Cicada, Stone Panda）は、2016年にQuasarをそのツールキットに加え、そのカスタムビルト版を使ってデータを盗み続けました。

最新のAPT10キャンペーンは、クワーサーRATを使用して日本の主要自動車、製薬、エンジニアリングベンダーを標的としました。世界中の17地域に点在する子会社も、偵察目的で攻撃されました。脅威アクターは、わずかにその前作から異なるカスタムバージョンの脅威を使用しました。特に、敵は追加のプラグインモジュールのダウンロード能力を追加しました。これにより、マルウェアは動的に変化する目的に容易に適応可能となりました。また、通信と暗号化のルーチンが変更されました。

クワーサーRAT: 攻撃キルチェーン

クワーサーRATはスクリプトキディからAPTまでさまざまなハッカーに幅広く採用されているため、サイバー脅威の領域には多くのカスタマイズされたバージョンが存在しています。 後継者のリスト には、CinaRAT、QuasarStrike、VenomRAT、VoidRAT、AsyncRATなどが含まれます。しかし、大部分の悪意のあるサンプルは同じ攻撃ルーチンに従います。

Quasarは通常、悪意のあるファイルが添付されたスパムやフィッシングメールの助けを借りて配信されます。このようなアプローチは合理的であり、Quasarには脆弱性エクスプロイトが含まれていないためです。ハッカーは、ターゲットとするインスタンスを侵害する前に、他のマルウェアや技術を適用する必要があります。

実行後、Quasar RATは、スケジュールされたタスクとレジストリキーを使用して持続性を達成します。さらに、このトロイの木馬はコマンドプロンプト（cmd.exe）を管理者として起動することで権限を昇格させます。Windowsユーザーアカウント制御（UAC）が構成されている場合、マルウェアはコマンドプロンプトの受け入れを求めるUACのポップアップをトリガーします。最後に、Quasar RATはデータを盗む活動を開始します。このトロイには、タスクとファイルの管理、ファイルのダウンロード、接続の終了、プロセスの停止、コマンドの実行、リモートデスクトップ接続の開設、スクリーンショットの撮影、ウェブカメラの録画、キーロギング、パスワードのダンプなど、かなり広範な機能があります。

クワーサーの検出

Quasarマルウェアファミリーのサンプルからの検出とプロアクティブ防御を強化するために、私たちのThreat Bounty開発者 オスマン・デミール は専用のSigma規則をリリースしました：

https://tdm.socprime.com/tdm/info/WWXWHb1OJ3yt/Eb9NTncBR-lx4sDxFU7L/#rule-context

この規則は以下のプラットフォームに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

MITRE ATT&CK:

戦術: 実行、持続性、権限昇格

技術: スケジュールされたタスク (T1053)

サブスクリプションを入手する サイバー攻撃の検出時間を短縮するために、90,000以上のSOCコンテンツライブラリを備えたThreat Detection Marketplaceに参加してください。コンテンツベースは、攻撃ライフサイクルの初期段階で最も警戒すべきサイバー脅威を検出するために、毎日充実しています。自分自身でキュレートしたコンテンツを作成したいですか？ 私たちのThreat Bounty コミュニティに参加して、安全な未来を築きましょう！