新しいLodaRAT

LodaRATはRATです。
初めて観測されたのは何年も前のことです。
長い期間にわたって、いろいろと改変されたものが観測されています。
そんなLodaRATですが、また新しいものが出てきています。

• AutoIt
  LodaRATはAutoItで書かれています。
  AutoItはWindows用プログラムのGUI自動操作機能を主な特徴とするもので、スクリプトとして作成して実行形式にコンパイルすることが可能です。
  AutoItの実行環境があればスクリプトのままで動作しますが、実行形式にしておけばAutoItの実行環境がなくても動作します。

   

• ソースコード
  LodaRATのソースコードはたぶん公開されていません。
  でも、ソースコードを入手することが可能です。
  AutoItで書かれてコンパイルされたものを入手できれば、それを使ってソースコードを生成することができます。
  このため、改変の意思がある場合、このマルウェアはとても使いやすいものになっています。

   

• C2との通信
  LodaRATはC2と通信をして動作します。
  そのC2との通信は暗号化の実装を含んでいません。
  このためC2部分についても別の新しいものを作ることは困難ではないものとなっています。

このようにLodaRATはいくつかの面で亜種を作りたい人にとって都合のよいものになっています。
実際、いくつもの亜種がいろいろなところで観測されています。
マルウェア対策プロセスを検出する機構の変更、キーロガー機能の削除、リムーバブルドライブへの自己感染、などが最近観測されている亜種の方向性です。

セキュリティ研究者の立場ではソースコードを入手しやすいことは研究が進めやすいといえますが、これは諸刃の剣です。
LodaRATの人気が再燃してきているのかもしれません。

参考記事（外部リンク）：Get a Loda This: LodaRAT meets new friends
blog.talosintelligence.com/get-a-loda-this/