最近マルウェアの技術巧妙になり、発見しにくいものが出てきておりますが、そんなマルウェアの中でも最も発見しにくく、しかもWindows、macOS、Solaris、およびLinuxシステムを対象にしているのが発見されました。
そのマルウェアは「CrossRAT」と呼ばれ、このマルウェアにはグローバルなモバイルスパイ活動に携わっているDark Caracalというハッカー集団の存在があるようです。
このCrossRATは、リモートアクセスの活動を中心としたトロイの木馬であり、代表的なOSである、Windows、Solaris、Linux、およびmacOSをターゲットにしております。
このマルウェアに感染すると、リモートの攻撃者がファイルシステムを操作したり、スクリーンショットを撮ったり、システム上で任意の実行ファイルを実行したりすることが出来ます。
研究者によると、Dark Caracalのハッカーは通常行われるマルウェアを配布するための "ゼロデイ攻撃"は使用していなく、代わりに、FacebookグループやWhatsAppメッセージなどの基本的なSNSを使用し、ユーザーにハッカー制御の偽のWebサイトを訪問させ、悪意のあるアプリケーションをダウンロードさせるようとする方法を使用しています。
このCrossRATはJavaプログラミング言語で書かれており、リバースエンジニアや研究者が簡単に逆コンパイルすることができるということです。
マルウェアの駆除はアンチウイルスソフトでもVirusTotalだけが検出でき、他のアンチウイルスソフトはこのマルウェアを検出することができないということで、通常のマルウェアとは違い、発見しにくいのが状況です。
この「CrossRAT」が攻撃対象のシステムで実行されると、インプラント(hmar6.jar)はまず、実行中のオペレーティングシステムをチェックし、それに応じてそのOS用の実行ファイルをインストールします。
インストールされたCrossRATマルウェアは、インストールされたOSのバージョン、カーネルビルド、アーキテクチャなど、感染したシステムに関する情報を収集しようとします。
さらに、Linuxシステムの場合、マルウェアは、Archd Linux、Centos、Debian、Kali Linux、Fedora、Linux Mintなどの配布を決定するために、システムファイルを照会しようとします。
CrossRATは、感染したシステムが再起動されるたびに自動的に(再)実行されるOS固有の永続性メカニズムを実装し、C&Cサーバーに自身を登録し、リモートの攻撃者がコマンドを送信してデータを抽出できるようにします。
このマルウェアの研究者によると、Dark Caracalハッキンググループによって配布されたCrossRATバリアントは、 'crossrat / k.class'ファイルでハードコードされたポート2223の' flexberry(dot)com 'に接続するとのことです。
また、CrossRATには非アクティブなキーロガーモジュールが含まれており、攻撃されたユーザーのキー入力情報を得ることが出来るように組み込まれていますが、このキーロガーを有効にするためのコマンドはなく、この機能は完全ではなく、開発途中のものだろうと研究者は述べています。
端末がこのCrossRATマルウェアに感染しているかどうかを確認する方法は次の通りです。
CrossRATはOS固有の方法で維持されるため、マルウェアの検出は実行しているオペレーティングシステムによって異なります。
A.Windowsの場合:
1.スタートからファイル名を実行を選び「regedit.exe」と入力し、レジストリエディッターを起動します。
2.「HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \」レジストリキーを確認します。このマルウェアに感染されている場合、java、-jar、およびmediamgrs.jarを含むコマンドが含まれています。
B.macOSの場合:
?/ Libraryのjarファイルmediamgrs.jarを確認します。
また、/ Library / LaunchAgents または ?/ Library / LaunchAgentsの起動エージェントをmediamgrs.plistという名前で探します。この名前があった場合は感染されています。
C.Linuxの場合:
/ usr / varにあるjarファイルmediamgrs.jarを確認します。
また、
?/ .config / autostart内の 'autostart'ファイルを探します。おそらくmediamgrs.desktopという名前となっています。
CrossRATトロイの木馬から守る方法はどうしたら良いのかということですが、残念ながら現在のアンチウイルスソフトではVirusTotal以外は検出できないのが現状です。
このCrossRATはJava記述のため、最近のMacOSなどにはJavaが付属していていないのが幸いとなります。しかし、MacOSユーザで既にJavaをインストールしている場合はこのマルウェアの脅威にさらされていることになります。
このトロイの木馬を感染を防ぐのはSNSなどのリンクなどからのアプリケーションをインストールしないことが1つの防御策となりますが、気付かないうちに感染してしまう場合もあります。
唯一の方法としてプロセス監視ソフトなどを導入し、不正なダウンロードやインストールが自動的に行われいないかを監視するしかありません。その不正プロセスの警告を出すだけでも効果がありますので検討してみてください。
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/33d66e47.69743159.33d66e48.f37c3978/?me_id=1409719&item_id=10000254&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbestlife-store%2Fcabinet%2F09572204%2Fwhitepc_rtx3070_bwn.jpg%3F_ex%3D300x300&s=300x300&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/33d67014.35368b22.33d67015.77fb54da/?me_id=1407733&item_id=10000637&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_gold%2Fdospara-r%2Fimg%2Fitem%2Fdospara-r_12058.jpg%3F_ex%3D300x300&s=300x300&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
コメント
コメント一覧 (3)
有意義な情報有難うございます。
ただ、Windowsのレジストリキーのパスが違っているように思えました。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
ではないでしょうか?
先のレジストリのパスは先頭を略したものだったのですね。
ところで、MacではJavaが~という記述がございますが、WindowsでもJavaをインストールしていなければとりあえず安全なのでしょうか?
しかし、Windowsの場合、JAVAを使用して動作するアプリは多数あるため、その動作するアプリの実行環境(ブラウザのJAVAプラグインやJDK等)がインストールされていれば、JAVAの開発環境がインストールされていなくても動作してしまいますので結果として危険な状態になると思います。