GlassRATを覗き込む

本日、RSAはGlassRATについて報告します。これは、以前は検出できなかったRAT(リモート アクセス ツール)ですが、RSAインシデント対応チームが発見しれ、多国籍企業との関わりのなかで、RSA Researchが調査を行いました。このマルウェアは、エンドポイント ウイルス対策製品では検出できませんでしたが、RSA Security Analyticsはそのネットワーク トラフィックを特定し、警告できました。その後、RSA ECATが、このマルウェアを特定しました。

このツールが標的をかなり絞ったキャンペーンの一部として使用されており、商業組織の中国国民に焦点を合わせていることを、さまざまな証拠が示しています。

GlassRATのコマンドおよびコントロール ストラクチャは、もともと2012年に報告されたマルウェア(太平洋地域の政府組織と軍事組織を標的としていました)に関連するキャンペーンで特定されたC2と少し重複することを示しています。

重複の正確な理由はまだ不明です。GlassRATが2012年後半にコンパイルされたと思われる点は注目に値します。これは、関連するマルウェアが公に報告されるようになったのと同じ期間です。攻撃の実行者はよく、RATなどの下位レベル ツールが検出されるようになると、それだけを単純に置き換えます。戦術、処理手順、インフラストラクチャや、標的そのものすら変更しません。ただし、このケースでは、事実は異なることを示唆しています。標的は量(多いか少ないか)の点でも特性(地政学的か商業的な)でも似ていません。さらに、C2の重複があった期間は比較的短かったため、これは重複が誤って生じ、運用上のセキュリティが短期間低下した可能性を示唆しています。インフラストラクチャと開発者を共有しているかなり大きな組織の下部部門がこれらのキャンペーンを実施している可能性があります。

RSA Security AnalyticsやRSA ECATなどの検出および対応ツールは、ハッカーのツールを簡単に検出できない状況で大きな価値がありますが、脅威の実行者によるセキュリティ侵害が自分の組織を標的としていることを示す証拠(この場合はドメインとIPアドレス)がある場合にも価値があります。

RSA ResearchのKent Backmanが作成した添付のレポートには、GlassRATの詳細と分析(そのC2と、以前のキャンペーンとの重複)が示されています。付録には、C2インフラストラクチャ、重複するC2を図示したもの、マルウェア ハッシュ、GlassRAT Yaraシグネチャの詳しい説明があります。

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments