概要
CrySome RATは、高度な.NETリモートアクセストロイアンで、完全機能のポストエクスプロイトツールと異例の強化された持続性、AVキラー、および除去防止論理を組み合わせています。これは、Windows環境に対する長期的な深刻な脅威となっています。
主要な機能
CrySome RATは、PowerShellコマンドの実行、ファイルのアップロード/ダウンロードと削除、プロセスの列挙と終了、詳細なシステムプロファイリングなど、幅広いリモート操作を提供します。また、画面キャプチャ、オーディオおよびウェブカメラへのアクセス、グローバルキーロギング、Chromiumベースの資格情報とクッキーの盗難、通常のリモートデスクトップと隠れた仮想デスクトップ(HVNC)セッションもサポートしています。
ネットワーク機能
CrySome RATは、持続的なTCP接続を基に動作し、コアアイデンティティ、システム情報、およびハートビートコマンドが常にアクティブなままになるように登録ハンドラを中央で管理します。これにより、高度なモジュール化と柔軟性が確保され、攻撃者がリモートAPIを使用してシステムを制御できます。
持続性設計
CrySomeの最も重要な強みは、スケジューリングタスクやレジストリスタートエントリー、冗長コピー、ウォッチドッグプロセス、Windowsサービス、および復元パーティションの乱用を組み合わせた層構造の持続性設計です。これにより、システムが工場出荷時の状態に戻った場合でも再起動後に実行を再開できます。
AVキラーと自己保護
AVKillerモジュールは、Microsoft DefenderやKasperskyなどの主要なセキュリティ製品に関する広範なベンダーアクション情報を含んでいます。これにより、既知のセキュリティプロセスを検出し終了させ、関連サービスを無効にし、リアルタイムで疑わしいセキュリティインストーラーとそのプロセスタイムツリーを強制的に終了します。
インジケーターオブコマプロイス(IOC)
- SHA256 (クライアント): f30f32937999abe4fa6e90234773e0528a4b2bd1d6de5323d59ac96cdb58f25d
- SHA256 (サーバー): fa896cc8ce13c69f6306eff2a8698998b48b422784053df6bb078c17fe3f04c3
- ドメイン: Crysome[.]net