ハッカーは、新しいWindowsマルウェアであるResokerRAT(Telegramベースのリモートアクセストロイアン)を使用して攻撃を行っています。このトロイアンは、従来のコマンド&コントロール(C2)サーバーに依存せずに、Telegram Bot APIを利用して命令を受信し、データを漏洩します。
ResokerRATの機能
ユーザーがresoker.exeを実行すると、このマルウェアは「Global\ResokerSystemMutex」という名前のミューテックスを作成し、システム上で同時に1つのインスタンスのみが実行されることを確認します。また、デバッガーの存在をチェックし、検出された場合にカスタム例外ロジックをトリガして解析を複雑化します。
さらに、このマルウェアは管理者権限で自身を再起動しようと試みます。成功した場合は元のプロセスから退出し、失敗した場合はその結果をTelegram C2に報告します。
スクリーンショットとファイルダウンロード機能
ResokerRATは、/screenshotコマンドを使用して現在の画面をキャプチャし、「Screenshots」フォルダにPNG画像として保存します。また、/downloadコマンドを使用して任意のペイロードをダウンロードし、ファイルが正常に保存されたか確認します。
持続性と隠蔽
- /startup: HKCU
egkey
unキーに自身のパスを書き込み、スタートアップ時に実行されるように設定します。 - /block_taskmgr: DisableTaskMgrレジストリ値を1に設定し、タスクマネージャーの起動を防ぎます。
- /uac-min: User Account Control (UAC)のプロンプトを無効化します。
防御戦略
セキュリティチームは、Telegram Bot APIからの不審な通信、非表示ウィンドウで実行されるPowerShellコマンド、異常な「Resoker」レジストリエントリ、およびDisableTaskMgrやUAC関連の値の変更を監視する必要があります。
対策
ユーザーは信頼できるセキュリティスイートを使用し、未知の添付ファイルや不審なツールから離れておくべきです。また、システムユーティリティが無効化されているか異常な動作がないか注意深く観察する必要があります。