新たなステルス型RAT「K.G.B RAT」が登場
アンダーグラウンドのサイバー犯罪フォーラムにおいて、新たなリモートアクセス型トロイの木馬(RAT)バンドル「K.G.B RAT + Crypter + HVNC」が脅威アクターによって宣伝されています。彼らは、このツールキットが既存のセキュリティソリューションによって「完全に検知されない」(FUD: Fully Undetectable)と主張しています。
この投稿によると、K.G.B RATは統合型クリプター、隠し仮想ネットワークコンピューティング(HVNC)機能、そして幅広い回避および永続化機能を備えた、Windowsシステム侵害のためのプレミアムソリューションとして位置づけられています。これはサイバーセキュリティ意識の向上と防御目的のためだけに強調されるべき情報です。
強力な回避能力と永続性
販売者は、「毎日更新」される「FUD内蔵クリプター」の搭載を誇示しており、マルウェアのコードとパッキング技術が定期的に変更されることで、署名ベースの検知を回避できると示唆しています。また、Windows Defenderや「他のすべてのアンチウイルス」を恒久的に回避できるという主張は、犯罪者によるマーケティングの典型的な特徴ですが、これはアンチ分析とステルス性への明確な焦点を表しています。
特に懸念されるのはクリプターの組み込みです。クリプターは悪意のあるペイロードを難読化または暗号化し、初期の配信および実行時にセキュリティエンジンをすり抜けるのを助けます。これにより、攻撃者のスキル障壁が劇的に低下し、経験の浅いアクターでもカスタマイズされたペイロードを簡単に生成できるようになります。さらに、このRATは実行可能ファイルやスクリプトタイプなど、複数の形式でファイルを作成できるため、電子メールの添付ファイル、リムーバブルメディア、または侵害されたウェブサイトを介した潜在的な配信経路を広げます。
もう一つの宣伝されているコンポーネントであるHVNC(Hidden VNC)は、より高度なバンキング型トロイの木馬やRATでよく見られる機能です。HVNCを使用すると、攻撃者は被害者マシン上に不可視のデスクトップセッションを生成し、ユーザーに知られることなくシステムを操作し、アカウントへのログイン、不正な取引の実行、またはネットワークへのさらなる侵入といったアクションを実行できます。これらの活動は隠されたセッションで行われるため、一部のユーザーベースの監視を回避し、被害者のデバイスからの正規の活動として表示される可能性があります。
販売者は、ユーザーアカウント制御(UAC)やその他のセキュリティメカニズムをバイパスまたは無効化する機能など、永続化機能も強調しています。このような機能は、RATが侵害されたホスト上で長期的な足場を維持するのに役立ち、スパイ活動、資格情報の窃盗、ランサムウェアのステージング、またはボットネット操作をサポートします。主張されているアンチウイルス回避能力と相まって、K.G.B RATは単純な一回限りの侵害ではなく、ステルス性の高い多段階攻撃をサポートするように設計されていると考えられます。
マルウェアのコモディティ化とセキュリティへの影響
犯罪フォーラムでのマーケティング用語はしばしば誇張されますが、K.G.B RATの宣伝は、マルウェアエコシステムの継続的なトレンドを反映しています。それは、コモディティ化の増加、「サービスとしての」提供、そして複雑な攻撃をより広範な脅威アクターが利用できるようにするための自動化への焦点です。
セキュリティチームは、脅威インテリジェンスフィード、ログ、またはインシデント調査で「FUD」ツールや統合型クリプターへの言及があった場合、これを危険信号として扱うべきです。防御側は、以下の多層防御に焦点を当てるよう強く推奨されます。
- 堅牢なエンドポイント保護
- 行動検知
- アプリケーション制御
- 異常なリモートセッションまたはプロセス動作の継続的な監視
また、ネットワークセグメンテーション、強力な認証、タイムリーなパッチ適用も、RAT感染の影響を制限するために引き続き不可欠です。
サイバーセキュリティ意識向上のために
本情報は、サイバーセキュリティ意識を高め、ダークウェブマーケットプレイスで流通している新たな脅威を組織が認識し、対応するのに役立つことを目的として共有されています。このようなツールとのいかなる相互作用も違法であり危険であるため、極度の注意を払って取り扱ってください。これらは、防御研究のために管理された環境で資格のある専門家のみが分析すべきです。