セキュリティ研究者がマルウェアキャンペーンの詳細を公開

セキュリティ研究者は、バッチスクリプトを使用してXWorm、AsyncRAT、Xeno RATなどの暗号化されたリモートアクセストロイアン(RAT)を配布するマルウェアキャンペーンの詳細を公開しました。この攻撃チェーンは、Securonix Threat ResearchによってVOID#GEISTと命名されています。

攻撃の仕組み

このマルウェアは、最初にTryCloudflareドメインから取得したバッチスクリプトを実行し、フィッシングメールで配布されます。このスクリプトは、現在ログインしているユーザーの権限を使用して初期の足場を築き、セキュリティアラートを引き起こさないように、通常の管理操作に似た活動を装います。

ファイルレス実行

攻撃の次段階では、マルウェアはTryCloudflareドメインから追加のペイロードを取得します。これらのペイロードはZIPアーカイブに含まれており、runn.py、new.bin、xn.bin、pul.binなどのファイルが含まれています。runn.pyはPythonベースのローダースクリプトで、new.bin、xn.bin、pul.binはそれぞれXWorm、Xeno RAT、AsyncRATに対応する暗号化されたシェルコードペイロードです。

Pythonランタイムの利用

これらのファイルが展開されると、攻撃は合法的な埋め込みPythonランタイムを直接からpython.orgからデプロイします。これにより、システムにPythonがインストールされていない場合でも、マルウェアは継続的に動作します。

最終段階

最終段階では、PythonローダーはEarly Bird APCインジェクションメカニズムを使用してAsyncRATを起動します。この感染チェーンは、攻撃者が制御するC2インフラストラクチャにHTTPビーコンを送信して、デジタルの侵入を確認します。

検出と対策

セキュリティ研究者は、このマルウェアがexplorer.exeプロセスに短時間のウィンドウ内で繰り返しプロセスをインジェクトするという行動パターンを強調しています。これは、攻撃の各段階で強い行動的な指標となります。

元記事: https://thehackernews.com/2026/03/multi-stage-voidgeist-malware.html