はじめに：Pulsar RATの脅威が浮上

オープンソースのQuasar RATの高度な進化形であるPulsar RATが、Windowsシステムを標的として、強化されたステルス機能とファイルレス実行技術を悪用し活動しています。このモジュール型リモートアクセス型トロイの木馬は、メモリ常駐型ローディング、隠れた仮想ネットワークコンピューティング（HVNC）、そして仮想通貨ウォレットのクリッピングを組み合わせることで、従来のセキュリティ防御を回避しつつ、持続的なバックドアアクセスを確立します。

高度な回避メカニズムとステルス性

Pulsar RATは、従来の検出手法を回避する洗練されたアンチ分析メカニズムによって際立っています。

• Pulsarは、仮想環境でよく見られる「QEMU HARDDISK」のような文字列をディスクラベルから検査することで、アンチ仮想化チェックを実行します。仮想マシンが検出されると、分析を回避するために即座に実行を終了します。
• .NETリフレクションを利用してペイロードをディスクに書き込まず直接メモリにロードすることで、ファイルレスアプローチを実現し、ディスクベースのセキュリティ監視を回避します。
• コードインジェクション機能により、正規のプロセス内で実行されるため、プロセス名に基づく検出は効果がありません。

ネットワーク通信にはTLS暗号化が使用され、設定データは公開されているPastebinサイトから取得されます。マルウェアは、埋め込まれたキーを使用してC2設定を復号し、サーバーIPアドレスを取得した後、効率的なコマンドのシリアル化のためにMessagePackバイナリプロトコルを使用したBCrypt暗号化接続を確立します。

感染経路と永続化の手口

Pulsar RATは主にサプライチェーンの侵害やソーシャルエンジニアリングを通じて拡散します。

• 2025年のnpmサプライチェーン攻撃では、「solders」と「@mediawave/lib」という悪意のあるパッケージが関与し、7層以上のUnicode変数エンコード、16進エンコード、Base64、PNG画像に埋め込まれたステガノグラフィーなど、極端な難読化技術が使用されました。
• 初期アクセスは通常、悪意のある添付ファイルを含むフィッシングメール、不正コピーされたソフトウェア配布、または侵害されたサードパーティライブラリを介して発生します。

一度実行されると、マルウェアはスタートアップエントリまたは最高特権で構成されたスケジュールされたタスクを通じて永続性を確立します。注目すべきUACバイパス技術として、HKEY_CLASSES_ROOT\ms-settings\Shell\Open\command内のDelegateExecuteレジストリ値をクリアしてから、悪意のあるコマンドを(Default)値に書き込む手法が確認されています。

Pulsar RATの広範な機能

マルウェアのモジュール型プラグインアーキテクチャは、広範な機能をサポートしています。AnyRunの報告によると、以下の機能が含まれます。

• キーロギング
• ウェブカメラおよびマイクへのアクセス
• Kematian Grabberモジュールを介した認証情報窃取
• 仮想通貨クリップボードハイジャック
• 隠れた仮想ネットワークコンピューティング（HVNC）により、ユーザーに視覚的な兆候をトリガーすることなく感染システムをリモートで制御

さらに、「FunStuff」とラベル付けされた追加モジュールは、GDIエフェクト、ブルースクリーンオブデス（BSOD）のトリガー、マウススワップ、タスクバー非表示機能を提供します。リバースプロキシサポートとリモートシェル実行機能は、侵害されたネットワーク全体でのラテラルムーブメントを促進します。

組織への影響と推奨される防御策

組織は、知的財産窃盗、規制違反、および運用の中断に直面し、これらの問題の修復には200〜500人時の労力が必要となる場合があります。

防御には、EDRプラットフォーム、ネットワークセグメンテーション、およびユーザーのセキュリティ意識向上トレーニングを組み合わせた多層的なセキュリティ制御が必要です。これにより、この脅威を標的としたソーシャルエンジニアリング攻撃の60〜90%を防ぐことができます。

---

元記事: https://gbhackers.com/pulsar-rat-abuses-memory-only-execution-and-hvnc-for-stealthy-remote-takeover/