脅威の概要:Pythonベースの高度なRAT「PyRAT」
進化するサイバー脅威の状況において、攻撃者は従来のセキュリティ制御を回避するため、Pythonを利用して高度なリモートアクセス型トロイの木馬(RAT)を開発するケースが増加しています。Pythonの広範な採用とクロスプラットフォームの互換性は、脅威アクターがそのリーチを最大化するための魅力的な開発プラットフォームとなっています。コンパイルされたバイナリとは異なり、ELFおよびPE形式にコンパイルされたPythonベースのマルウェアは、独自の分析上の課題を提起します。最近の技術分析により、PythonベースのPyRAT亜種が、WindowsおよびLinux環境全体で組織に重大なリスクをもたらす、驚くべきクロスプラットフォーム機能と広範なリモートアクセス機能を有していることが明らかになりました。このマルウェアは主要なアンチウイルスエンジンで高い検出率を達成しており、現実世界の攻撃キャンペーンで活発に展開されていることを示唆しています。
技術アーキテクチャとその脆弱性
PyRATは、実行時に包括的なシステムフィンガープリンティングを直ちに実行する洗練されたAgentクラスアーキテクチャを採用しています。このプロセスは、オペレーティングシステムの識別、ホスト名の列挙、現在のユーザーコンテキストを含む重要な偵察データを収集します。マルウェアは、ユーザー名資格情報とMACアドレスを連結することで準永続的な被害者識別子を生成し、コマンド&コントロール(C2)サーバーがセッション全体で個々の侵害されたホストを追跡できるようにし、ユーザーアカウントの変更後も永続性を維持します。
感染したホストとC2インフラストラクチャ間の通信は、暗号化されていないHTTP POSTリクエストを/api/{uid}/helloエンドポイントに送信することによって行われます。決定的に重要なのは、この通信が暗号化、整合性検証、または暗号化認証メカニズムなしでプレーンテキストJSON形式で行われることです。このアーキテクチャ上の弱点により、送信されるシステムデータとコマンド出力がネットワーク傍受に晒され、ネットワークベースの脅威検出システムによる検出可能性が大幅に高まります。
多様な永続化メカニズム
PyRATは、従来のセキュリティ制御を回避するオペレーティングシステム固有の永続化戦略を実装しています。Linuxシステムでは、マルウェアはXDG Autostart機能を悪用し、~/.config/autostart/dpkgn.desktopに偽装した起動ファイルを作成し、正規のDebianパッケージ管理ツールを模倣します。このユーザー空間永続化技術は、管理権限を必要とせずに動作し、名前の難読化を通じてステルス性を維持します。
Windowsの永続化は、HKCU\Software\Microsoft\Windows\CurrentVersion\Run配下のUser-Runレジストリキーを利用し、昇格された権限なしでユーザーログイン時に自動的に実行されます。マルウェアは適応的なビーコン動作を採用しており、アイドル状態では通信間隔を延長し、アクティブ状態では0.5秒の迅速なポーリングサイクルに移行することで、運用上の応答性を維持します。
広範なコマンド実行機能と巧妙なデータ処理
この脅威は、完全な標準出力(stdout)と標準エラー(stderr)のキャプチャを含む包括的なコマンド実行機能を実装しており、リモートオペレーターが任意のシェルコマンドを完全な出力レポートとともに実行できるようにします。高度な機能には、ファイルシステム列挙、マルチパートフォームデータエンコーディングを介した双方向ファイル転送、およびDEFLATE圧縮アルゴリズムをサポートするZIPアーカイブ作成による大量データ持ち出し(exfiltration)が含まれます。スレッド実装により、メインC2通信ループは同時操作中も応答性を維持します。
おそらく最も懸念されるのは、マルウェアに組み込まれたクリーンアップ機能です。これは完全なアンインストールを実行し、すべての永続化メカニズム、レジストリエントリ、インストールディレクトリを削除し、再起動後のクリーンアップのためにWindowsのRunOnceメカニズムを利用します。
推奨される対策
このPyRATは、高度な国家支援アクターとの関連性はありませんが、観測された検出率と現実世界での展開は、組織的なサイバー犯罪活動による活発な悪用を示しています。組織は、ネットワークベースの脅威検出システムを実装し、定期的なエンドポイントセキュリティ監査を実施し、Pythonコンパイル型マルウェアの亜種を検出できる更新されたセキュリティソリューションを維持する必要があります。