はじめに

AsyncRATの解析結果については前回「AsyncRATの解析結果」¹にまとめました。 本ブログでは、実際にAsyncRATをWindows端末上で実行し得られた攻撃者の活動を観測・分析した結果を紹介します。

AsyncRATとは

AsyncRATは、リモートアクセス型のトロイの木馬(Remote access trojan, RAT)であり、2019年にGitHub¹でソースコードが公開された以降、その汎用性の高さから現在もばらまき型のRATの1つとして世界中で猛威を振るっています。 ANY RUN²のマルウェアトレンドトラッカーにおいて、本ブログの執筆時点(2024/06/26)で月間3位であることからもその勢いが分かります。

本ブログではAsyncRATの基本的な機能を解説するとともに、2024年5月7日から6月3日までの約1ヶ月間に収集した複数のAsyncRATの亜種を調査し、追加されている機能や展開方法をまとめます。

はじめに

　NICTのライブネットチームでは、NICTが管理するネットワークに届く攻撃通信やメールアドレス宛に届く不審ファイルの分析など、日々のSOCオペレーションを行っています。これまでもArkimeを使ったセキュリティオペレーションの手法¹やフィッシングメールのターゲットの傾向分析²、Emotetの観測状況^{3 4}などをブログで紹介してきました。今回はNICTに届いたメールに添付された不審なファイルの分析に焦点を当てて、NICTで利用している環境を紹介します。