概要
新たなMaaS(Malware-as-a-Service)プラットフォーム「Atroposia」が登場しました。これは、持続的なアクセス、回避、データ窃盗、そしてローカル脆弱性スキャン機能を兼ね備えたリモートアクセス型トロイの木馬(RAT)をサイバー犯罪者に提供します。このマルウェアは月額200ドルのサブスクリプションで利用でき、隠しリモートデスクトップ、ファイルシステム制御、データ流出、クリップボード窃盗、認証情報窃盗、仮想通貨ウォレット窃盗、DNSハイジャックといった高度な機能が利用可能になります。データセキュリティ企業Varonisの研究者によって発見されたAtroposiaは、SpamGPTやMatrixPDFと同様に、手軽で安価な「プラグアンドプレイ」型ツールキットの最新例であると警告されています。
Atroposiaの機能
Atroposiaはモジュール式のRATであり、暗号化されたチャネルを介してC2(コマンド&コントロール)インフラストラクチャと通信し、Windowsシステム上でUAC(ユーザーアカウント制御)保護をバイパスして特権を昇格させることができます。研究者によると、感染したホスト上で持続的かつステルスなアクセスを維持でき、その主な機能は以下の通りです。
- HRDP Connectモジュール: バックグラウンドで隠れたデスクトップセッションを生成し、攻撃者がアプリケーションを開いたり、ドキュメントやメールを閲覧したり、ユーザーセッションと対話したりすることを、ユーザーに気づかれることなく可能にします。Varonisは、標準的なリモートアクセス監視ではこれを検出できない可能性があると述べています。
- エクスプローラー形式のファイルマネージャー: リモートでのファイル閲覧、コピー、削除、実行機能を提供します。
- グラバーコンポーネント: 特定のファイルを検索し、拡張子やキーワードに基づいてフィルタリングし、データをパスワード保護されたZIPアーカイブに圧縮します。その後、痕跡を最小限に抑えるためにインメモリ技術を使用してデータを流出させます。
- Stealerモジュール: 保存されたログイン情報、仮想通貨ウォレット、チャットファイルを標的とします。また、クリップボードマネージャーはリアルタイムでコピーされたすべての情報(パスワード、APIキー、ウォレットアドレスなど)を捕捉し、攻撃者に履歴を提示します。
- ホストレベルDNSハイジャックモジュール: ドメインを攻撃者のIPにマッピングし、被害者を密かに不正なサーバーにルーティングします。これにより、フィッシング、MITM(中間者攻撃)、偽のアップデート、広告またはマルウェアの注入、DNSベースのデータ流出が可能になります。
- 組み込みのローカル脆弱性スキャナー: 欠落しているパッチ、安全でない設定、脆弱なソフトウェアを監査し、攻撃者がエクスプロイトを優先順位付けできるスコアを返します。これはRATのモジュール式プラグインベースのワークフローを示しています。研究者らは、この脆弱性チェックが「企業環境において危険である」と述べています。なぜなら、マルウェアが古いVPNクライアントや未パッチの特権昇格バグを発見する可能性があるためです。これは、より深いアクセスを得るために容易に利用される可能性があります。Varonisの報告によると、このモジュールは欠落しているパッチ、安全でない設定、古いソフトウェアバージョンをチェックします。この機能は、悪用可能な近くのシステムを見つけるためにも使用される可能性があります。
対策
Atroposiaの登場は、サイバー犯罪者にとって新たなMaaSの選択肢を加え、技術的な障壁を下げ、スキルが低い脅威アクターでも効果的なキャンペーンを実行できるようにします。このリスクを軽減するために、ユーザーはソフトウェアを公式のサイトや信頼できる情報源からのみダウンロードし、海賊版ソフトウェアやトレントを避け、宣伝されている検索結果をスキップし、理解できないオンラインで見つけたコマンドは決して実行しないよう助言されています。