SwaetRAT マルウェア: その機能と目的の詳細
Table of Contents
リモートアクセス機能による欺瞞的な脅威
SwaetRAT は、高度な回避技術を利用して検出を回避しながら、侵入したシステムで永続性を維持する、洗練されたリモート アクセス トロイの木馬 (RAT) です。この .Net ベースのマルウェアは、リモートでコマンドを実行できるため、攻撃者は感染したデバイスをさまざまな悪意のある目的で操作できます。ネイティブ Windows ライブラリとリフレクション メカニズムを活用して、オペレーティング システムと低レベルで対話し、すぐに疑われることなくペイロードを実行し、システム プロセスを制御できます。
SwaetRATがシステムに足場を築く方法
システム内に侵入するために、このマルウェアは API レベルのインタラクションを利用します。ライブ パッチ テクニックを使用してセキュリティ防御を回避し、通常は疑わしいアクティビティを検出または記録する関数を変更します。このような変更の 1 つに、セキュリティ ソフトウェアが悪意のあるスクリプトを分析できないようにする AmsiScanBuffer() のパッチ適用があります。さらに、このマルウェアはイベント ログを生成する関数である EtwEventWrite() を変更し、ログ記録メカニズムによってアクティビティが検出されないようにします。
SwaetRAT は、ntdll.dll ライブラリを改ざんし、主要な関数を変更して所定の値を返すことで、その地位をさらに強固なものにしています。このアプローチは、システムのアーキテクチャ (32 ビットか 64 ビットか) によって異なり、その適応性を示しています。これらの変更が行われると、マルウェアは Base64 でエンコードされたペイロードをデコードして実行し、最終的にアセンブリをロードしてさらに操作します。
ペイロードと実行の詳細
デコードされたペイロードは、Windows 実行ファイルとダイナミック リンク ライブラリ (DLL) の標準形式であるポータブル実行可能 (PE) ファイルとして構成されています。エントリ ポイント クラスのインスタンスを作成し、そのメソッドを呼び出すことで、SwaetRAT は悪意のある機能が適切に実行されるようにします。主な回避策の 1 つは、%LOCALAPPDATA%\Microsoft\_OneDrive.exe パスに自身をコピーすることです。この動作は、固定ディレクトリのファイルを分析することが多いサンドボックス環境を回避するように設計されています。
SwaetRAT は、永続性を維持するために、システムのレジストリを変更し、スタートアップ ショートカットを作成します。実行可能パスをユーザーのソフトウェア ハイブの下のレジストリ キーに書き込み、システムが起動するたびに悪意のあるプロセスが実行されるようにします。スタートアップ フォルダー内の対応するショートカットがこのパスを取得し、PowerShell コマンドを実行してマルウェアを再起動し、システムのスタートアップ プロセス内に効果的に埋め込まれます。
通信とコマンド実行
マルウェアは動作可能になると、コマンド アンド コントロール (C2) サーバーとの接続を確立し、リモート攻撃者が命令を発行できるようにします。デコードされたペイロードは Web クライアントと対話し、16 進数でエンコードされた文字列をバイト配列に変換してから、これらのデコードされたバイトを引数として aspnet_compiler.exe を実行します。この実行フローは、正当なシステム プロセスを装ってさらに悪意のあるコードを実行しようとする試みを示唆しています。
特定された変異体とこれまでの観察
SwaetRAT は、2023 年に分析されたキャンペーンに関連付けられています。そのインスタンスで調査されたマルウェア サンプルは、同じ RAT 機能を保持しており、144.126.149.221:7777 にある C2 サーバーに関連付けられていました。このサンプルの注目すべき特徴は、%APPDATA%CCleaner.exe ディレクトリに複製されたことです。これは、よく知られているソフトウェア ユーティリティを装おうとしていることを示しています。興味深いことに、この亜種には難読化がないため、アナリストがリモート アクセス機能と通信パターンを簡単に抽出できました。
SwaetRAT の活動が及ぼす影響
デバイスに SwaetRAT が存在すると、重大なセキュリティ上の懸念が生じる可能性があります。リモート アクセス機能があるため、攻撃者は任意のコマンドを実行したり、ファイルを操作したり、追加の悪意のあるペイロードを展開したりすることができます。さらに、検出を回避して永続性を維持する機能があるため、侵害されたシステムは、ユーザーが疑わしいアクティビティに気付かないまま、長期間にわたって攻撃者の制御下に置かれる可能性があります。
SwaetRAT のような脅威が使用する戦術を理解することは、効果的な防御を実装する上ですべての人にとって重要です。定期的なセキュリティ更新、異常なシステム変更の監視、強力なエンドポイント保護対策の採用は、このような脅威によってもたらされるリスクを軽減するのに役立ちます。情報を入手し、警戒を怠らないことで、ユーザーは SwaetRAT のようなステルス的な侵入からデジタル環境をより適切に保護できます。
