概要
Agent Teslaは、世界中の脅威状況において最も持続的なリモートアクセストロイア(RAT)の一つとして確立しています。このマルウェアはデータ窃取能力と広範な配布ネットワークで知られており、低スキルのサイバー犯罪者にとって高度な結果を達成するための武器となっています。
最新の変種では、複数ステージのデリバリーシーケンスが採用され、メモリベースの実行とファイルシステム上の永続的な痕跡の欠如により、従来の検出方法を難しくしています。最近のキャンペーンは、フィッシング、暗号化されたスクリプト、高度な回避技術を通じて脅威アクターが戦術を洗練させていることを示しています。
ステージ1:フィッシングエントリーポイント
感染は、購入依頼であると偽装された欺瞞的なビジネスメールから始まります。このメールの件名行(例:“新しい注文書PO0172”)は緊急性と正当性を創出します。
- エイリアス:「新規購入依頼PO0172」などの件名が緊急性と信憑性を与えます。
- 添付ファイル:PO0172.rarアーカイブは、実行可能ファイルではなく、隠されたオブフォスケートJSEファイルを含んでいます。これによりメールセキュリティフィルタを回避します。
このスクリプトが起動されると、次のフェーズが層の奥に隠れて実行されます。
ステージ2:暗号化スクリプトの回避
実行時にJavaScriptエンコードされたローダーは、外部ホスティングサイトcatbox[.]moeからセカンダリPowerShellスクリプトを取得します。このダウンロードしたスクリプトはAES暗号化されており、カスタムInvoke-AESDecryptionルーチンを使用して直接メモリ内でデコードされます。
- メモリー内でのAES復号化:これによりディスクへの書き込みを避けることができ、フォレンジックやエンドポイント検出ツールによる分析の痕跡がほとんど残りません。
デコードされたペイロードはプロセスホロウイングの一環として環境を準備します。
ステージ3:メモリ内でのプロセスホロウイング
PowerShellスクリプトが合法的なWindowsプロセスC:\\Windows\\Microsfot.NET ramwork ramework4.0.30319 ramworkaspnet_compiler.exeを標的とし、このプロセスが停止状態で起動された後、2つのBase64エンコードアセンブリが注入されます。
- 合法的なコードの置き換え:合法的なコードは「空洞化」され、Agent Teslaの悪意のあるペイロードに置き換えられます。これにより、マルウェアは信頼できるWindowsコンポーネントとして動作し、行動監視ソリューションから活動を隠すことができます。
ステージ4:アンチ解析と環境チェック
データ窃取前に、マルウェアは仮想化やサンドボックス環境の存在を確認するための複数の健全性チェックを行います。WMIから「VMware」、「VirtualBox」または「Microsoft Corporation」といった仮想化文字列をクエリします。
- 仮想化やセキュリティDLLのスキャン:snxhk.dll(Avast)、SbieDll.dll(Sandboxie)やcmdvrt32.dll(Comodo)などの既知のサンドボックスとセキュリティDLLもスキャンされます。
これらのインジケーターが検出された場合、マルウェアは実行を停止し、C2機能が研究者によって発見されないようにします。
ステージ5:データ窃取とC2通信
環境が確認された後、Agent Teslaは資格情報を収集し始めます。ブラウザクッキーとアカウント詳細を抽出し、ホスト名、有効期限タイムスタンプ、関連するセキュリティフラグも取得します。
- データの送信:追加の盗難データはしばしばテキストファイルとして保存され、SMTP経由で攻撃者が制御するメールサーバーに送信されます。研究者は同じドメインからの複数のバウンスメッセージを観察し、大規模なエクスフィルレーション試みが行われていることを示唆しています。
このフィッシングを駆動するAgent Teslaキャンペーンは、既存のマルウェアがモジュラリティとステルス性を通じて進化し続ける方法を強調しています。プロセスホロウイング、暗号化されたスクリプト、アンチ解析チェックを採用することで、高度な持続的脅威の動作を模倣します。
結論
単純な配信方法に頼りつつも、メモリベースの実行チェーンと層状回避により、検出が非常に困難であり続けるため、Agent Teslaは現代のサイバー犯罪エコシステムにおいて依然として重要な役割を果たしています。