目次

• Quasar RATについて
• 今回の感染手法
• まとめ

QuasarRATについて

現地時間の2019年8月26日、米国のセキュリティベンダーCofenseより、Quasar RATを利用したフィッシング攻撃に関する記事が公表されました。

cofense.com

Quasar RATはオープンソースで提供されるリモートアクセスツールです。

これまでに、PwCレポートで、APT10が利用するRATとして紹介されていることをはじめ、多くのAPTグループによって利用が確認されています。

https://www.pwc.com/jp/ja/japan-service/cyber-security/assets/pdf/operation-cloud-hopper.pdf

https://malpedia.caad.fkie.fraunhofer.de/details/win.quasar_rat

上のリンクにて紹介しましたが、malpediaなるものがあるんですね。

結構記事の網羅性も高くマルウェアリサーチャの方々やCSIRT、SOCの方の参考としてもおすすめです。

今回の感染手法

さて、攻撃の手法についてです。

まず攻撃者は以下のようなEメールを送付し、受信者の開封を誘います。

なお、添付されたWordファイルはパスワードで保護されており、マクロもエンコードされています。

パスワードはメールの本文で記載されているので、これをもとにファイルを開封できます。

また、ファイルを開いたあと、マクロを有効にすることで、通信先URLの一部や実行するスクリプトをメタデータとして含む、オブジェクトファイルや画像ファイルを取得します。

これらスクリプトの実行などはエラーメッセージが表示されたタイミングでバックグラウンドのプロセスとして実行されます。

結果として、自己解凍形式のexeファイルがダウンロードされます。

このexeファイルを実行することで、Quasar RATが解凍されます。

まとめ

少々手の込んだ形で、攻撃が実行されますね。

この攻撃自体、さほど手が込んでいないことから標的型攻撃ではないと考えられます。

ただし、フィッシング攻撃においても、フリーツールのRATが使われたことで、感染後の攻撃の幅も広げられることが考えられますね。

そもそも、Quasar RAT自体まともな使われ方をされている印象がないので、フリーツールとはいえ、Githubがガバナンス利かせるしかないんじゃないかなと思ってます。