JanelaRAT
JanelaRATは名前が示す通りRATです。
特定の地域のFinTech利用者に対して悪用が確認されています。
どんなものなのでしょうか。
- ターゲット
別の地域や利用者層がターゲットになることは十分に考えられますが、2023年6月の時点では、JanelaRATは主に中南米の銀行や金融機関からの金融データと暗号通貨データを対象としています。 - 狙った内容に絞って活動する
JanelaRATはいろいろな機能の実装されたRATです。
しかし、侵害環境にある情報はなんでも持っていこうという方針では動作していません。
感染環境はWindowsなのですが、そのWindows環境で動作するアプリケーションのWindowsタイトルバーの文字列内容をキャプチャし、脅威の攻撃者にとって興味深いものであるかどうかを確認します。
ここで興味深いタイトルとなるのは、金融および銀行データに関連するものです。 - こっそり動く
マルウェアは単独では起動されません。
正規のアプリケーションのexeが起動される際に、それによるDLLサイドローディングの形式で起動されます。 - 休みながら動く
JanelaRATにはいくつかの動作状態があります。
Windowsが利用者によって利用されている状態であると認識されているタイミングではアクティブ状態とその動きを把握しようとします。
そしてWindowsの利用者による操作が継続的に確認できない状態となった場合、マルウェアはアイドル状態となります。
この機能により、パソコンの利用されていない時間にマルウェアが活動してしまう不自然な動作が元となってマルウェアの存在が確認されてしまうことを回避しています。 - 中身をわかりにくくする
JanelaRATの機能部分は、.NETアセンブリ用の商用コード難読化ツールであるEazobfuscatorによって難読化された状態になっています。
そしてDLLの内部で使用される文字列の多くは暗号化されています。 - C2の使い分け
C2のドメイン名は暗号化された状態でハードコーディングされています。
そしてその数は非常に多く、実に32種類が実装されています。
マルウェアが動作する日がその月の何日なのかによって選択されています。 - 情報を盗み出すことに関連する機能
JanelaRATは検出回避機能が複雑なだけでなく、情報を盗み出すことに関連する機能が多数実装されています。
国や侵害環境のユーザ種別などのホストプロファイルの取り出し、マウスの動きの取得、システム使用状況情報の取得、Windowsの操作、スクリーンショットの取得、などです。
Windowsの操作として、Windowsのshutdownや休止、マウスカーソルの移動やクリック、矢印キーやTABキーによるアプリケーションの操作、マルウェア自身の自己消滅機能が実装されています。
このマルウェアの初期感染経路はまだ明らかになっていませんが、なんらかの方法で感染環境にZIPファイルとして持ち込まれるところから始まることが確認されています。
そして、その中身が多段的に展開されて、マルウェアが設置された状態になります。
マルウェアの動作中の機構の巧妙化はどんどん進んでいます。
動作が始まってしまった場合に、手元のアンチウイルスなどの安全機構によって確実に検出して、その被害を食い止めることができるかは怪しいと思うほうがよさそうです。
やはり、そもそも不明なファイルを入手しないように注意するということが重要に思えます。
マルウェア対策も、Shift Leftということなのでしょうね。
参考記事(外部リンク):JanelaRAT: Repurposed BX Rat Variant Targeting LATAM
FinTech
www.zscaler.com/blogs/security-research/janelarat-repurposed-bx-rat-variant-targeting-latam-fintech
