ナンバーワンリモート管理ツール：Borat

新しい実装のマルウェアが観測されています。
名前はBoratです。
名前の中にratがあるように、このマルウェアはリモートアクセストロイです。

これまでにみられる別のRATはRATとしての機能が実装されていて、そのRATの機能を活用して別のマルウェア（たとえばランサムウェアやDDoSサービスのツールなど）を感染先に流し込むような使われ方が通常でした。
しかしこのBoratでは、Boratそのものにいろいろな機能が実装されています。
実装されている機能の種類だけでも非常に多くがあります。

• Remote hVNC
  hidden VNCです。
  このカテゴリには、hidden desktop、hidden chrome、hidden firefoxなどの多くのメニューが含まれます。
• Remote Fun
  このカテゴリ名の意味はなんでしょう。
  ここには、UACの無効化、モニターのon/off、トレイの表示/非表示などの多くのメニューがあります。
  UACはもちろんユーザーアカウント制御のことです。
• Remote System
  リモートで管理、でしょうか。
  システム情報の収集、ファイル操作、起動時自動実行の操作、プロセスの管理、TCPコネクションの管理、リバースプロキシ、レジストリエディタ、UACエキスプロイト。
  怖いものが多数並んでいます。
• Stub Features
  stubって開発中のソフトを動かすときにまだ実装していない機能の代わりにテストコードが機能するように用意したりするモノです。
  ここには、ディフェンダーの無効化、隠しファイル、隠しフォルダー、永続化、暗号化通信の実現、ShellCode関連機能、オンラインキーロガー、オフラインキーロガーなどが並んでいます。
• Password Recovery
  ChromeとEdgeに保存された認証情報を取り出します。
• RAT + HVNC
  一括設定用のメニューかもしれません。
  このメニューを使うと各種カテゴリの機能が一括で有効化できそうです。

実に高機能です。
Boratの実装者は脅威アクターにダッシュボードを提供しています。
活動中のマルウェアの操作の機能や配布するマルウェアに搭載する機能を選択してバイナリを作成する機能があります。
配布する機能を絞り込むことでバイナリのサイズを小さくすることができますし、選択する機能を変えたりコンパイルしなおしたりするとHASHが変化しますので、この機能は脅威アクターにとっては非常に有効です。

ファイル暗号化機能、ファイル復号化機能、脅迫文表示機能、なども実装されています。
暗号化を実施している際にそれを中断されないための機能も満載です。
脅威アクターは攻撃に使うツールを自分好みに収集して組み合わせて使うのですが、Boratを使う場合は全部このツールの範囲でできてしまいそうです。

このツールは実際に活動が観測されています。
音声録音やWebカメラ制御の機能もありますから、感染して暗号化し脅迫文を表示した後、困惑する被害者の様子を脅威アクターは見ているかもしれません。
ほんとうに怖いです。
出所の確かでないファイルには十分な注意が必要ですね。

参考記事（外部リンク）：Deep Dive Analysis – Borat RAT
blog.cyble.com/2022/03/31/deep-dive-analysis-borat-rat/