Parallax RAT

Parallax RATは2019年の末ごろから活動が観測されているマルウェアです。
新たな手口を使ったキャンペーンを展開していることが確認されています。
どんな動きをするのでしょう。

• 入口
  まずは添付ファイル付きのメールから始まります。

   

• 添付ファイルの中身
  添付ファイルの中身はexeファイルです。
  メールの中の巧みな説明文で、このexeファイルを実行させます。

   

• 添付のexeの仕事
  添付のexeファイルは32ビットの実行可能形式のファイルです。
  この中にはいくつかのセクションが含まれていて、そのうちの一つがマルウェアのバイナリになっています。
  添付のexeは自身が起動されると、Windows用の正規の実行ファイルを起動します。
  現在観測されている事例ではpipanel.exeが選択されています。
  起動した正規のプロセスをプロセスハロウイングによって空洞化し、そこに自分の中に持っていたマルウェアのバイナリを注入します。
  ここで注入しているマルウェアがParallax RATです。

   

• Parallax RATの機能
  システム情報収集機能、クリップボード内容取得機能、キーロギング機能、リモートコントロール機能を搭載しています。
  リモートコントロール機能には、OSの再起動やシャットダウン機能、スクリプト配置機能とその実行機能を含みます。

   

• 犯罪者の目的
  RATを使って実現する内容は、機密情報の入手です。
  現在のキャンペーンでは暗号資産を取り扱う組織がターゲットになっています。
  過去には別のさまざまな領域の組織が標的になっていました。航空、航空宇宙、運輸、製造、防衛産業などです。

   

• ユーザとの連絡機能
  このマルウェアには攻撃者と被害者が連絡することのできる機能が搭載されています。
  マルウェアは通常のメモ帳を起動し、そのメモ帳をリモート操作して簡単なチャット機能を実現します。
  この機能を使用して犯罪者は被害者のTelegram IDを聞き出し、以降のやりとりをTelegramで実施するように誘導します。
  メモ帳にやり取りの文字は表示されていますが、これはもともと作成されていたテキストファイルではありません。
  未保存のテキスト文書としてまさにその場で入力された状態で存在しているものです。
  こういった保存されていないテキスト文書の内容をセキュリティ対策製品で検出することは技術的にできると思えません。
  検査で見つけるべき文章はファイルに保存されていませんので。

犯罪者は次々に新しい切り口の手口を実装してきます。
そのなかには技術的な対策が容易ではない手法も含まれます。
マルウェアの活動が開始されてしまうとそれを検出したり停止させたりすることは簡単ではありません。
入口で止めてしまうことができるとよいですよね。
マルウェア対策の領域でもシフトレフトが重要ということに思えます。

参考記事（外部リンク）：Cryptocurrency Entities at Risk: Threat Actor Uses Parallax
RAT for Infiltration
www.uptycs.com/blog/cryptocurrency-entities-at-risk-threat-actor-uses-parallax-rat-for-infiltration