STX RATの概要
セキュリティ企業eSentireの脅威対応チーム(TRU)は、新しいリモートアクセストロイアン(STX RAT)について警告しました。このマルウェアは、高度な隠蔽と暗号化技術を用いてセキュリティツールから目立たないように設計されています。
STX RATの初期展開
STX RATは、悪意のあるVBScriptやJScriptチェーンを使用して最初に配布されます。これらのスクリプトは、TARアーカイブをダウンロードし、その中にはコアペイロードとPowerShellローダーが含まれています。
高度な隠蔽技術
STX RATは独自のパッカーを使用しており、「init」と「run」のみを公開します。XXTEA暗号化とZlibデコンプレッションを使用して、主要なペイロードを展開します。
通信と暗号化
STX RATは独自のTCPプロトコルを使用し、X25519楕円曲線ディフィー・ヘルマン(ECDH)鍵交換を使用してセッション固有の共有秘密を導出します。通信はChaCha20-Poly1305で暗号化され、長さプレフィックス付きメッセージにより、一般的なHTTPパターンとは異なるように見えます。
データ窃取とリモートデスクトップ機能
STX RATは強力な情報盗難能力を持ち、C&Cサーバからの明示的な指示がない限り、データ窃取の動作を最小限に抑えます。これにより、sandbox環境での検出を避けることができます。
リモートデスクトップ機能
STX RATは「隠された」デスクトップ環境へのアクセスを提供するHVNCスタイルのリモートデスクトップ機能を持っています。これにより、攻撃者はユーザーが気づかないままシステムを操作することができます。
持続性と防御
STX RATはHKCU Runキーを使用して永続化し、MSBuildベースのプロジェクトやCOMオブジェクトハイジャックなどを用いてペイロードを実行します。また、セキュリティ製品の一覧を作成し、それをC&Cサーバに報告します。
防御策
eSentireはSTX RATを低能見性だが成熟した脅威と評価しています。防御者はスクリプト実行の強化や高度なNGAV/EDRの導入、24時間365日の管理型検出と対応サービスの利用などを考慮すべきです。