Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

ObliqueRAT：悪意のあるドキュメントに潜む新種の RAT がエンドポイントを狙い撃ち

TALOS Japan
2020年3月4日

• 悪意のある Microsoft Office ドキュメント（不正ドキュメント）を利用して、「ObliqueRAT」と呼ばれるリモートアクセス型トロイの木馬（RAT）を拡散させるキャンペーンを発見。
• 不正ドキュメントは、悪意のあるマクロによって第 2 ステージの RAT ペイロードを配信。
• 東南アジアの組織が標的。
• ネットワークベースの検出技術は重要だが、これらの脅威に備えるには、エンドポイント保護と組み合わせて複数のセキュリティレイヤを実装することが不可欠。

最新情報

Cisco Talos が「ObliqueRAT」と名付けたリモートアクセス型トロイの木馬（RAT）を拡散させるキャンペーンが最近確認されています。また、2019 年 12 月以降拡散されている別の RAT「CrimsonRAT」とよく似た不正ドキュメントやマクロを使用するなど、双方の間での関連性も確認されています。CrimsonRAT の標的となっているのは、東南アジアの外交機関や政府機関です。

動作の仕組み

CrimsonRAT は、Microsoft Office 形式の不正ドキュメントを使用してターゲットのエンドポイントに侵入します。侵入に成功すると、多様な RAT 機能を持った「ObliqueRAT」と呼ばれる第 2 ステージのインプラントをデバイス内に埋め込み、永続化を確立させます。この記事では、不正ドキュメントおよび RAT の核となる、次のような手口について解説します。

• 不正ドキュメントを中心にした感染チェーン。
• 侵入用 EXE を使用して亜種を拡散。
• 入念に細工された、RAT インプラント（第 2 ステージのペイロード）の機能とコマンドコード。
• 使用される通信メカニズム。

ObliqueRAT の正体

ObliqueRAT は、多様な悪意のある機能を実装するために使用される、シンプルながらも効果的な RAT の一例です。ObliqueRAT の主な機能は次のとおりです。

• 感染したエンドポイントで任意のコマンドを実行する。
• ファイルを抽出する。
• 追加のファイルを取得する。
• 感染先のエンドポイントのプロセスを終了させる。

今回の記事では、現時点で確認された亜種を分析することで、ObliqueRAT の進化について掘り下げます。具体的には、ObliqueRAT と CrimsonRAT の共通点と相違点を洗い出すことで、検出を回避しながら攻撃を続けるための戦略と手法の変化について分析します。そして最後は、ネットワークベースの検出技術に、振る舞い分析とエンドポイント保護を組み合わせたセキュリティレイヤが大切な理由についても解説します。

不正ドキュメントの分析

最初の感染ベクトル

ObliqueRAT は、悪意のある Microsoft Word ドキュメントの添付ファイルとしてエンドポイントに配信されます。ドキュメントを開こうとすると、パスワードの入力が要求されます。ドキュメントには悪意のある VBScript が含まれていて、正しいパスワードを 1 度入力すると実行されます。

ドキュメントには、一見すると無害に思える、次のようなファイル名が付いています。

• Company-Terms.doc
• doc

（DOT_JD_GM は「Department Of Telecommunications_Job Description_General Manager（通信部門のゼネラルマネージャの職務内容）」などの略語かもしれません）

このようなファイル名から、不正ドキュメントは特定個人への標的型攻撃で使用されている可能性が疑われます。最初の感染ベクトルは、不正ドキュメントを開くためのパスワードが記載された、悪意のある電子メールを受信するところから始まります。

悪意のある VBA の分析

ドキュメントを開くと、次のような不正操作を実行する、悪意のある VBA スクリプトが実行されます。

1. フォームまたはテキストボックスの内容を抽出。

2. その内容は、特定文字（デリミタとして使用される「O」など）で区切られて文字として埋め込まれた MS Windows バイナリで構成。

特定文字で区切られて不正ドキュメントに埋め込まれた、悪意のある MZ（赤線部）

3. 悪意のあるバイナリは、VBA スクリプトによって不正ドキュメントから抽出され、エンドポイント内の
   C:\Users\Public\sgrmbrokr.doc に追加。

4. 最終的にファイル名は（実行可能ファイルを表す）C:\Users\Public\sgrmbrokr.exe に変更。

5. 悪意のある VBScript は、現在ログインしているユーザのスタートアップディレクトリにショートカットを作成。これにより、前の手順でファイルシステムに追加された悪意のある実行可能ファイル（MZ）が永続化。作成されるショートカット：
   %userprofile%\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\saver.url。

6. ショートカットが作成された時点で、この VBScript は停止。第 2 ステージのペイロード（ObliqueRAT）は実行されません。

不正ドキュメントに埋め込まれた悪意のある VBA スクリプト

第 2 ステージのペイロード「ObliqueRAT」の分析

第 2 ステージのバイナリ（ObliqueRAT）には次の機能が含まれています。

• RAT の機能（詳細は後述）。
• コマンドおよび制御サーバ（C2）と通信し、コマンドコードを取得し、実行されたコマンドの出力を返す機能。

Threat Grid はインプラントを悪意があるものとして検出

Threat Grid が示すインプラントの侵入兆候

ミューテックスの生成

RAT は「Oblique」という名のミューテックスを生成して確認することで、感染したエンドポイントでプロセスのインスタンスが常時 1 つだけ実行されるようにします。名前付きのミューテックスがエンドポイントにすでに存在している場合、感染したユーザアカウントの次回ログインまで RAT の実行は停止されます。

インプラントによるミューテックスの生成

最初のシステムフィンガープリントの収集

マルウェアによって名前付きミューテックスが作成されると、システムを特定するために、最初のシステムフィンガープリントが収集されます。最初のフィンガープリントが稼働中の C2 に送信され、システム全体のフィンガープリントが作成された後、次に送信するコマンドが決定されます。

RAT によって次のシステム情報が収集されます。

• コンピュータ名
• 現在のユーザアカウント名
• Windows オペレーティングシステム（OS）のバージョン（テキスト形式）

○  XP
○  XP SP2
○  Vista
○  7
○  8
○  1
○  10

•  OS のビット数

○  64 ビット版
○  32 ビット版

• ディレクトリおよびファイルのチェック：特定のディレクトリとその中のすべてのファイルの存在を確認することがこの RAT の特徴です。ディレクトリパス（フォルダパス）C:\ProgramData\System\Dump は RAT にハードコーディングされています。感染したシステム上にこのディレクトリが存在する場合、RAT は「Yes」を、それ以外の場合は「No」を C2 に送信します。
• インプラント「2」からのバードコーディングされた別の値が C2 に送信されます（その値はインプラントのバージョン番号である可能性があります）。

インプラントによって収集されたシステム情報は、「>」をデリミタとする単一の文字列としてまとめられます。

使用される形式

（「_変数名_」の部分に対応する値が入ります）
_ComputerName_>_UserName_>Windows _version-string_>_implant-name-on-disk_>_OS-bitness_>_Dump_dir_files_exist_>_hardcoded_implant_version_number_>

例
DESKTOP-SCOTTPC>jon>Windows 10>sgrmbrokr>64 bits>Yes>5.2>

このインプラントにより最初にシステム情報が収集されますが、C2 の特定のコマンドコードを受信したときにのみ情報が送信されます。またこのインプラントは、エンドポイントで起動する前に、マルウェア対策ソフトウェアが存在していないかチェックします。

マルウェア対策ソフトウェアの存在確認

このインプラントの別の興味深い点は、最初のフィンガープリントを作成するためのシステム情報を取得した後、取得したユーザ名とコンピュータ名に対して一連のチェックを実行し、コマンドの実行を回避すべきエンドポイントまたはユーザアカウントがないか確認する機能です。ブラックリストに登録されたユーザ名やコンピュータ名が存在する場合、コマンドの実行を取りやめます。

インプラントのブラックリストに登録されているユーザ名は次のとおりです。

• John
• Test
• Johsnson
• Artifact
• Vince
• Serena
• Lisa
• JOHNSON
• VINCE
• SERENA

同様のチェックはコンピュータ名に対しても実行されます。インプラントのブラックリストに登録されているコンピュータ名は次のとおりです。

• JOHN
• TEST

インプラントのブラックリストに登録されているユーザ名とコンピュータ名

マルウェア対策ソフトウェアの存在確認が実行される理由には、次のようなものが考えられます。

• サンドボックスベースの検出システムでインプラントが実行されないようにする（分析回避）。
• 攻撃者のテスト環境におけるインプラントの実行を防ぐ。

RAT のコマンドコードと動作

次にインプラントは、ハードコーディングされた IP アドレスとポート番号を使用して C2 サーバに接続します。

ハードコーディングされた C2 サーバに接続するインプラント

接続時にインプラントは、エンドポイント上で次に実行するコマンドコードを C2 から受信します。また、インプラントが C2 からのコマンドを受信するたびに、コマンドコードの受信確認メッセージが C2 に返送されます。

確認応答は、常に「ack」というキーワードです。

確認応答として C2 に送信される「ack」

次に、コマンドコードと、それらをサポートするコマンドデータ（いずれも C2 から送信）、およびその動作の詳細について解説します。

コマンドコード = “5” コマンドデータ = <ファイル名またはフォルダパス>

このコマンドコードは、特定のフォルダパスまたはファイルパスの先にあるファイルを検索し、それらのファイルサイズを KB 単位で記録します。インプラントによって収集されたデータの形式は次のとおりです。

（「_変数名_」の部分に対応する値が入ります）

_filepath_<_size_in_KB_;_filepath_<_size_in_KB_;

例
pony.txt<4;bigpony.txt<100;

コマンドコード = “0” コマンドデータ = なし

前のステップですでに収集されたシステム情報を C2 サーバに送信し、感染したホストのフィンガープリントを作成します。

最初のシステム情報を C2 サーバに送信するインプラント

コマンドコード = “1” コマンドデータ = なし

このコマンドでは、インプラントがトリガーされ、エンドポイント上の各ドライブのカテゴリを検出します。チェック対象となるドライブのドライブレターは、インプラント内にハードコーディングされています。

• A:
• B:
• C:
• D:
• E:
• F:
• G:
• H:
• I:
• J:
• K:
• L:

システムでチェックされたドライブの種類は、次のキーワードを使用して、テキスト形式でインプラントに表示されます。

• Unknown
• Removable Drive
• Hard Drive
• Network Drive
• CD Drive
• RAM Disk

このコマンドに関して送信されるデータの形式は次のとおりです。

（「_変数名_」の部分に対応する値が入ります）
_drive-letter_>_Drive-type_|_drive-letter_>_Drive-type_|

例：
C:>Hard Drive|D:>CD Drive|

インプラント内のドライブレターと識別文字列

コマンドコード =”0″ コマンドデータ = <ファイル名> & <ZIP ファイル名>

C2 サーバから、ターゲットのファイル名と ZIP ファイル名を受信します。%temp% ディレクトリ内に、受信した名前で新しい ZIP ファイルが作成されます。この ZIP ファイルにはターゲットファイルが追加されます。完了後、ZIP ファイルが C2 サーバに送信されます。

ファイルの送信後、元の ZIP ファイルはエンドポイントから削除されます。

またインプラントは、エンドポイントから送信されたターゲットのファイル名（ZIP 形式）を %temp%\lgb というログファイルに記録します。

エンドポイントから送信されたファイルのリストを含むログファイル

コマンドコード = “4A” または “4E” コマンドデータ = <ターゲットのファイル名>

これはコマンドコード「4」の別形です。異なるのは、C2 からの ZIP ファイル名をインプラントが必要としない点です。単純にターゲットのファイル名を基に ZIP ファイルを作成します。

たとえば、ターゲットのファイル名が「abc.txt」の場合、ZIP ファイル名は「abc.txt.zip」となります。

コマンドコード = “6” コマンドデータ = <フォルダパス>

C2 サーバから指定されたフォルダパスに存在する全ファイルを再帰的に検索し、そのフォルダパスと同じ名前を使って各ファイルを ZIP 化します（ZIP ファイルはインプラントのオペレーティング ディレクトリに作成されます）。次いで、インプラントはこの ZIP ファイルを C2 に送信し、ファイルを削除します。

コマンドコード = “3” コマンドデータ = <フォルダ名>

コマンドコード =”5″ の別形です。異なるのは、インプラントがフォルダ名のみを受信し、ファイルサイズが再帰的に計算され、ファイルパスとファイルサイズのリストをコマンドコード = “5” と同じ次の形式で構築する点です。

_filepath_<_filesize_;_filepath_<_filesize_;_filepath_<_filesize_;

コマンドコード = “7” コマンドデータ = <コマンドライン>

優先度の高いエンドポイントで特定のコマンドラインを実行します（エンドポイントで実行されたコマンドの出力は C2 に返されません）。

エンドポイントでインプラントが実行するコマンドのサンプル

コマンドコード = “8” コマンドデータ = <ファイル名>, <ファイルサイズ> & <ファイルの内容>

C2 が送信したファイルを、インプラントが感染したエンドポイントに書き込みます。そのためインプラントは C2 サーバから次の情報を受信します。

• ファイルを書き込むディスク上のパス。
• C2 から送信されるファイルのサイズ。
• ディスクに書き込むファイルの内容。

コマンドコード = “BACKED” コマンドデータ = なし

lgb 形式のログファイルの内容を別のファイルにバックアップします。バックアップ元とバックアップ先は次のとおりです。

バックアップ元：%temp%\lgb
バックアップ先：%temp\lgb2

インプラントは lgb ログファイルを 1 文字ずつ読み取り、lgb2 ファイルに書き込みます。改行文字は「*\n」に置き換えられます。

バックアップが完了すると、インプラントは「lgb」ログファイルを削除し、lgb2 ファイルの名前を「lgb」に戻します（データを重ね合わせるバックアップ形式を採用）。

コマンドコード = “RNM” コマンドデータ = <旧ファイル名> & <新ファイル名>

C2 が指定する新しい名前にファイル名を変更します。

インプラントのファイル名変更機能

コマンドコード = “TSK” コマンドデータ = なし

システムで実行中のプロセスのリストを作成し、ログファイルにリストを記録し、その内容を外部に送信します。C2 に送信されたログファイルはエンドポイントから削除されます。

使用されるログファイルパス：C:\ProgramData\a.txt

ログファイルの内容：

Running Processes
<process_image_name>
<process_image_name>
<process_image_name>
process_image_name >
.
.
.

インプラントによってログファイルに書き込まれたプロセスリストのスニペット

コマンドコード = “EXIT” コマンドデータ = なし

スタートアップフォルダにショートカットを残したまま、エンドポイントでのインプラントの実行を停止します。

コマンドコード = “RESTART” コマンドデータ = なし

C2 へのソケット接続を再確立します。

コマンドコード = “KILL” コマンドデータ = <プロセス名>

C2 によって指定された名前のプロセスを検索し、該当するプロセスを終了させます。

エンドポイントで実行中のプロセスを終了させるインプラントの機能

コマンドコード = “AUTO” コマンドデータ = 任意

このコマンドコードは、C2 サーバによって指定されたディレクトリに対して再帰的な全体検索をトリガーするために使用されます。全体検索の目的は、指定されたファイル名のファイルが存在するかどうかを確認するためです。C2 によって指定されるデータは次のとおりです。

• ファイルの検索対象となるフォルダパス。
• 検索対象のファイル名。
• 検索対象のファイル拡張子。

指定された条件に一致するファイルは、C:\ProgramData\auto.txt にログとして記録されます。

書式：

_folderpath_>_filename1_,_filename2_,_filenameN_<_file-extn1_,_file-extn2_,_file-extnN_

例：

C2 から送信されたコマンドデータが次の場合、
c:\dummy>pony.txt,blah.exe<txt,exe

該当するファイルが見つかると、ログファイル（「auto.txt」）に次のように記録されます。
c:\dummy\pony.txt
c:\dummy\blah.exe

次いで、ログファイル（auto.txt）が読み込まれ、その内容が C2 に送信されます。送信されたファイルは削除されます。

コマンドコード = “RHT” コマンドデータ = <ファイルパス>

C2 サーバによって指定されたファイルをエンドポイントから削除します。

RAT（インプラント）の通信メカニズム

ObliqueRAT は ws2_32.dll ライブラリを利用して C2 と通信します。このライブラリは、MS Windows でサポートされている主要なソケットライブラリを実装するために使用されます。

RAT が通信中に使用するキーワードは次のとおりです。

• “ack\0” = コマンドコードが受信されたことの確認応答で、コマンドの実行に成功したことを示す。
• “nak\0” = 実行に失敗したことを示す応答で、障害の理由は C2 に提供されない。

亜種 #0：ObliqueRAT

Cisco Talos では、悪意のあるドロッパーを経由して拡散された ObliqueRAT の別の亜種を検知しました。ドロッパーには 2 つの EXE ファイルが埋め込まれています。これらは感染チェーンを完成させるために、実行中にディスクにドロップされます。ドロッパーの最初の感染ベクトルは不明です。

亜種 #0 のアーティファクト：

ドロッパーの EXE：

• 4a25e48b8cf515f4cdd6711a69ccc875429dcc32007adb133fb25d63e53e2ac6

ObliqueRAT の亜種 #0 の EXE：

• 9da1a55b88bda3810ccd482051dc7e0088e8539ef8da5ddd29c583f593244e1c

永続コンポーネントの EXE：

• ad17ada0171b9e619000902e62b26b949afb01b974a65258e4a7ecd59c248dba

亜種 #0 ドロッパーの分析

このドロッパーは 1 つの EXE で構成され、その中に別の 2 つの EXE が埋め込まれています。実行時にドロッパーは次のアクティビティを実行します。

特定のファイルマーカーがディスク上のドロッパーのバイナリファイルに存在する場合（使用されるマーカー = “***”）

1. マーカーが存在していれば、マーカー（埋め込まれた 2 つの EXE に対応してマーカーも 2 つ存在）で挟まれた部分のデータを読み取り、そのデータを次のファイルとしてディスク上に書き込みます。

C:\Users\Public\Video\hrss.exe

C:\Users\Public\Video\lphsi.exe

2. ShellExecute API を使用してこれらのファイルを実行します。

マーカーが存在しない場合は、本体の新しいコピーとしてコンポーネントをパッケージ化します。

1. 現在の作業ディレクトリにある「exe」および「b.exe」という名前のファイルを探し、その内容をメモリに読み込みます。
2. 本体（ドロッパー）の名前を「exe」に変更します。
3. 指定されたマーカー（「***」）と「exe」および「b.exe」の内容を本体（fin.exe）に追加して、パッケージ化プロセスを完了します。

ObliqueRAT コンポーネントの機能（lphsi.exe）

ドロッパーによってドロップされた ObliqueRAT サンプルは、上述の ObliqueRAT サンプルと同じ機能を備えています。しかし後述するように、差異もいくつか存在しています。

永続モジュール（hrss.exe）

ドロッパーによって実行される 2 つ目の EXE（hrss.exe）は、ObliqueRAT サンプル（lphsi.exe）の永続性を確立するためだけに使用されます。感染したエンドポイントにユーザがログインしたときに、現在ログインしているユーザのスタートアップディレクトリにショートカットを作成し、ObliqueRAT を実行できるようにします。

作成されるショートカット：%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\script.lnk

永続性を確保するために使用される悪意のあるショートカット（script.lnk）

亜種 #0 の比較

Cisco Talos によって検出された亜種 #0（9da1a55b88bda3810ccd482051dc7e0088e8539ef8da5ddd29c583f593244e1c）は、この記事で説明した ObliqueRAT 攻撃（37c7500ed49671fe78bd88afa583bfb59f33d3ee135a577908d633b4e9aa4035）の初期バージョンだと思われます。

その理由は以下のとおりです。

1. 亜種 #0 のコンパイル日時の方が早く、04/11/2019 12:12:04 UTC となっています。ObliqueRAT インプラントのコンパイル日時は 27/11/2019 08:40:10 UTC でした。
2. 両方のインプラントにハードコーディングされているバージョン番号は「2」となっていますが、亜種 #0 には、インプラントが C2 サーバへの接続に失敗した場合に、次の 2 つのメッセージボックスのいずれかを表示する追加の機能があります。

タイトル = scokerr
テキスト = sockerror

および

タイトル = grace
テキスト = grace

これらの点を踏まえると、C2 接続機能のデバッグに使うメッセージボックスを削除せずにリリースした ObliqueRAT のテストコピー、それが亜種 #0 である可能性も考えられます（「亜種 #0」の命名はそれに由来しています）。

関連するキャンペーンの比較：CrimsonRAT と ObliqueRAT

不正ドキュメント内の悪意のある VBA スクリプトは、2019 年以降に検出された、.NET ベースの別の RAT ファミリ（CrimsonRAT）に酷似しています。CrimsonRAT は、東南アジアの組織を標的にすることで知られています。

CrimsonRAT マルウェアの拡散が観察された不正ドキュメントの例（2019 年 12 月以降）：

• 965b90d435c1676fa78cdce1eee2ec70e3194c0e4f0d993bc36bfd9f77697969

その不正ドキュメントによってドロップされた CrimsonRAT のサンプル：

• 98894973a86aa01c4f7496ae339dc73b5e6da2f1dbcd5fe1215f70ea7b889b85

2 つのキャンペーンの類似性

（ObliqueRAT を含む不正ドキュメントの場合と同様）この CrimsonRAT の不正ドキュメントもパスワードで保護されていませんが、ObliqueRAT の不正ドキュメントとの間には次の類似点が存在します。

• ファイル名、フォルダ名、ZIP ファイル名などに関する類似した VB 変数命名規則

例

ObliqueRAT の VBScript では、次のような名前の変数が使用されています。
file_Salan_name、fldr_Salan_name、zip_Salan_file

一方、CrimsonRAT の VBScript では、次のような名前の変数が使用されています。
file_Allbh_name、fldr_Allbh_name、zip_Allbh_file

• 後続ステージのペイロードに対する類似した復号手法
  いずれの VBScript セットも、フォーム（テキストボックス）から後続ステージの埋め込みペイロードを抽出します。このとき、後続ステージのペイロードのバイトは、特定記号で区切られた文字（または 10 進数）です。

2 つのキャンペーンの相違点

• CrimsonRAT の不正ドキュメントは、後続ステージのペイロードをファイルシステム上の ZIP ファイル（例：%allusersprofile%\intaRD\thnaviwa.zip）にドロップします。
  ただし、ObliqueRAT の不正ドキュメントは、次の名前のファイルに RAT ペイロードを直接ドロップします。
  C:\Users\Public\sgrmbrokr.exe
• 前述のとおり、CrimsonRAT の不正ドキュメントは、最初にディスク上に悪意のある ZIP ファイルをドロップしてから、アーカイブファイル内で EXE を解凍します。その後、悪意のある EXE（.NET ベースの CrimsonRAT）ファイルが、感染したエンドポイントで実行されます。
  しかし、ObliqueRAT の不正ドキュメントは、悪意のある EXE（ObliqueRAT EXE）ファイルをファイルシステムに直接ドロップして、感染したユーザのスタートアップフォルダにショートカットを作成します。その時点では EXE が実行されません。ユーザがシステムに再ログインして初めて、ObliqueRAT の感染が始まります。

ObliqueRAT VBA（左）と CrimsonRAT VBA（右）のコード比較

まとめ

今回のキャンペーンは、CrimsonRAT の拡散手口と類似する標的型攻撃が広まっていることを示しています。ただし、ここで気になるのは、攻撃者が現在新しいファミリの RAT を流通させていることです。それほど高度な手口ではないにせよ、ObliqueRAT には、感染したエンドポイントで多様な不正操作を実行できる多数の機能が含まれています。この不正ドキュメントがパスワードで保護されているという事実（および ObliqueRAT インプラントに分析回避機能が含まれているという点）は、分析と検出を回避しようとする攻撃者の意図を裏付けています。このキャンペーンは 2020 年 1 月に開始され、現在も続いています。キャンペーンは、ネットワークベースの検出の重要性を示すと同時に、システムの動作分析とエンドポイン保護による補完も不可欠であることを示す好例だと言えます。

カバレッジ

お客様がこの脅威を検出してブロックするための方法を以下に記載します。

Advanced Malware Protection（AMP）は、この記事で説明したマルウェアの実行を阻止するのに最適です。次のスクリーンショットは、AMP がこの脅威からお客様を保護する様子を示しています。こちらから AMP を無料でお試しいただけます。

Cisco クラウド Web セキュリティ（CWS）または Web セキュリティアプライアンス（WSA）の Web スキャンは、悪意のある Web サイトへのアクセスを防止し、上述したような攻撃で使用されるマルウェアを検出します。

E メールセキュリティは、攻撃の一環として攻撃者が送りつける不正な電子メールをブロックします。

次世代ファイアウォール（NGFW）、次世代侵入防御システム（NGIPS）、および Meraki MX などのネットワーク セキュリティ アプライアンスは、今回の脅威に関連する悪意のあるアクティビティを検出します。

Threat Grid は、悪意のあるバイナリを特定し、すべてのシスコ セキュリティ製品に保護機能を組み込みます。

Umbrella（シスコのセキュア インターネット ゲートウェイ（SIG））は、社内ネットワークの内外で悪意のあるドメイン、IP、URL への接続をブロックします。

特定の環境および脅威データに対する追加の保護機能は、Firepower Management Center から入手できます。

オープンソースの Snort サブスクライバルールセットをお使いであれば、Snort.org で購入可能な最新のルールパックをダウンロードすることで、最新状態を維持できます。

AMP による検出

AMP は次のように ObliqueRAT インプラントを検出します。

AMP による ObliqueRAT の検出

AMP によって検出された ObliqueRAT 亜種 #0

侵入の痕跡（IOC）

この脅威に関連した IOC は次のとおりです。

ObliqueRAT

不正ドキュメント

• 057da080ae0983585ae21195bee60d82664355a7fd78c25f21791b165c250212
• dfad2a80dac91e7703266197ebbf5d67ef77467ab341dd491ad25d92d8118cac

ドロッパー（亜種 #0）

• 4a25e48b8cf515f4cdd6711a69ccc875429dcc32007adb133fb25d63e53e2ac6

第 2 ステージで使われる悪意のある EXE ファイル

• ObliqueRAT：37c7500ed49671fe78bd88afa583bfb59f33d3ee135a577908d633b4e9aa4035
• 亜種 #0：9da1a55b88bda3810ccd482051dc7e0088e8539ef8da5ddd29c583f593244e1c

永続コンポーネント

• ad17ada0171b9e619000902e62b26b949afb01b974a65258e4a7ecd59c248dba

第 2 ステージの EXE ファイルによって作成されたミューテックス

• 「Oblique」

C2 IP アドレスと URL

• 185[ドット]117.73.222:3344

CrimsonRAT

不正ドキュメント

• 965b90d435c1676fa78cdce1eee2ec70e3194c0e4f0d993bc36bfd9f77697969

後続ステージで使われる悪意のある ZIP ファイルと EXE ファイル

• 3671b7ed9f67098d2a534673ed9ff46e90c03269c0bdd9b6f39ae462915ecdcb [ZIP]
• 2911a3da2299817533ca27a0d44c8234fdf9ecd0a285358041da245581673d6f [ZIP]
• 98894973a86aa01c4f7496ae339dc73b5e6da2f1dbcd5fe1215f70ea7b889b85 [exe]
• e436be68cdbdb7ea20e5640ad5fa5eca1da71edb9943c3bde446b4c75dacfbd0 [exe]

本稿は 2020年2月20日に Talos Group のブログに投稿された「ObliqueRAT: New RAT hits victims’ endpoints via malicious documents」の抄訳です。

• ObliqueRA
• RAT
• Talos
• マルウェア
• リモートアクセスツール
• 脅威調査