セキュリティ研究者らは、新しく確認されたWindows用マルウェアであるResokerRATがTelegramのBot APIを利用して主要なコマンド・アンド・コントロール(C2)チャネルとして機能し、従来の攻撃者が所有するサーバーに依存せずに感染したシステムを遠隔で監視および制御することを報告しました。
ResokerRATの動作
ResokerRATは、最初に「Global\ResokerSystemMutex」という名前のミューテックスを作成し、CreateMutexW APIを使用してシステム上でマルウェアが単一のインスタンスで実行されることを確保します。また、IsDebuggerPresent関数を使用して接続されたデバッガーを検出し、見つかった場合にカスタム例外処理をトリガして解析を妨害します。
Telegram APIを利用したC2通信
ResokerRATは、TelegramのBot APIを通じてテキストベースのコマンドを受け取ります。これらのコマンドには、スクリーンショットの取得やタスクマネージャーのブロック解除などが含まれています。
C2通信とMITRE ATT&CK対応
ResokerRATは、Telegram Bot APIを使用してC2通信を行います。これにより、攻撃者は遠隔で感染したシステムを制御することができます。また、この動作はMITRE ATT&CKフレームワークのいくつかのテクニックと一致しています。
セキュリティ対策
セキュリティチームは、エンドポイントからのTelegram Bot APIトラフィックを監視し、スタートアップやUAC関連のレジストリキーをレビューする必要があります。また、信頼性のある最新のエンドポイント保護ソリューションを使用して、ResokerRATのコンポーネントとPowerShellアクティビティチェーンを検出しブロックすることが重要です。