はじめに:高度なマルウェアキャンペーンの脅威
Windowsシステムを標的とした巧妙な多段階マルウェアキャンペーンが発見されました。この攻撃では、「Pulsar RAT」と呼ばれる高機能なリモートアクセス型トロイの木馬が利用されており、従来のセキュリティ対策を回避し、永続的なアクセスを維持する高度な手口が使われています。このマルウェアは、リビング・オフ・ザ・ランド(LoL)技術とインメモリペイロード配信を組み合わせることで、検知を困難にしています。
感染経路と永続化メカニズム
感染は、隠されたバッチファイルから始まります。このファイルは、HKCU\Software\Microsoft\Windows\CurrentVersion\RunにあるユーザーごとのRunレジストリキーを悪用し、永続化を確立します。マルウェアは、%APPDATA%\Microsoft\内にランダムな名前の隠しフォルダーを作成し、カジュアルなシステム検査での検知を避けます。
- バッチファイルは、無害に見える値名で自身を登録し、ユーザーログオン時に自動実行されます。
- 昇格された権限を必要とせず、システム再起動後もマルウェアが存続するように、リトライループを用いて堅牢性を確保しています。
- バッチファイルは、埋め込まれたBase64エンコードペイロードを抽出し、
%TEMP%ディレクトリに保存されたPowerShellスクリプトにデコードします。
このPowerShellステージは、実行ポリシーをバイパスして実行され、フォレンジック痕跡を最小限に抑えるための自己クリーンアップメカニズムも実装しています。
高度な回避・検知回避技術
デコードされたスクリプトには、ビット単位のXOR復号化を経て、位置独立実行のために設計されたDonut生成のシェルコードが隠されています。PowerShellローダーは、OpenProcess、VirtualAllocEx、WriteProcessMemory、CreateRemoteThreadといったWin32 APIを利用した古典的なCreateRemoteThreadプロセスインジェクションを実行します。
- 行動監視システムを回避するため、意図的に80秒間の遅延を設けています。
- シェルコードは、
PAGE_EXECUTE_READWRITE権限を持つ割り当てられたメモリに書き込まれます。 - マルウェアは、注入されたプロセスを継続的に監視するウォッチドッグメカニズムを実装しており、現在のホストが終了すると
explorer.exeに自動的に移行し、永続性を確保します。
高度なアンチアナリシス機能
復号化されたペイロードは、広範なアンチアナリシス保護を実装した高度に難読化された.NETアセンブリであることが判明しました。セキュリティ研究者が一般的に使用する自動分析環境を標的とし、実行前に徹底的な仮想化、サンドボックス、エミュレーション検知チェックを実行します。
- バックグラウンドスレッドは、注入されたスレッド、疑わしいメモリベースアドレス、およびマネージド/ネイティブデバッガーを継続的に監視し、改ざんを検知すると即座に終了します。
- ユーザーモードアンチデバッグを実装し、
x64dbg、WinDbg、dnSpy、IDAなどの既知のリバースエンジニアリングツールのアクティブウィンドウタイトルをスキャンします。 - ペイロードは、詳細なオペレーティングシステム、プロセス、ランタイム情報を収集し、環境プロファイリングを行います。
データ窃取と対象アプリケーション
Pulsar RATは、以下の広範なツールからモジュール式のデータ窃取を行います。
- リモート管理ツール: AnyDesk, TeamViewer, PuTTY
- FTPクライアント: FileZilla, WinSCP
- VPNソフトウェア: NordVPN, ExpressVPN
- メッセージングプラットフォーム: Discord, Telegram
- ゲームプラットフォーム: Steam, Epic Games
- 開発ツール: GitHub, JetBrains
また、ブラウザの認証情報、クッキー、オートフィルデータ、クレジットカード、認証トークンを複数のプロファイルにわたって収集するスティラーコンポーネントも備えています。
C2インフラとシステム制御
マルウェアは、以下のようなリアルタイム監視機能を提供します。
- クリップボード監視: 暗号通貨ウォレットアドレスを対象。
- ウェブカメラ起動とフレームキャプチャ。
- 連続的な音声録音: Windows Core Audio APIを使用。
これらのアーカイブは、DiscordウェブフックおよびTelegram Bot APIエンドポイントを通じて外部に持ち出され、ユーザー名、マシン名、OSバージョン、マルウェアバージョンなどの被害者メタデータを含むマルチパートPOSTリクエストが送信されます。システム制御機能により、リモート攻撃者はタスクマネージャーとユーザーアカウント制御(UAC)をオン/オフでき、ユーザーの視認性と抵抗を大幅に低減させます。
窃取されたデータは、「InteliX by dead artis」とラベル付けされた詳細な概要ファイルを含むZIPアーカイブに集約され、脅威アクター@aesxorと関連付けられています。
指標(Indicators of Compromise: IoC)
この脅威に関連する主要なIoCは以下の通りです。
- MD5ハッシュ:
648c0ba2bb1cde47fa8812f254821a72(0a1a98b5f9fc7c62.batバッチスクリプトファイル)69392e0d2b877cb932ab709ebe758975(ps_7b948266.ps1PowerShellスクリプト)666493877fb7328c3e8c313fbcfdfd1e(Client.exe実行可能クライアントコンポーネント)0020b06dc2018cc2b5bf98945a39cbd3(Pulsar.Common.dll関連DLLモジュール)3abcad7678dd78832a164349aceeaa59(Stealerv37.dll潜在的なスティラーモジュール)- C2ドメイン:
185[.]132[.]53[.]17:7800
結論
Pulsar RATは、多様な回避技術とデータ窃取能力を持つ高度な脅威です。企業および個人ユーザーは、最新のセキュリティソリューションを導入し、定期的なシステム監査を実施することで、このようなマルウェアキャンペーンから身を守るための警戒を怠らないようにしてください。特に、正体不明のファイルやリンクには十分注意し、多要素認証の導入や重要なデータの定期的なバックアップといった基本的なセキュリティ対策を徹底することが重要です。