Zscalerは9月27日(米国時間)、「Agent Tesla RAT Delivered by Quantum Builder With New TTPs」において、遠隔操作ウイルス(RAT: Remote Administration Tool)である「Agent Tesla」を配布するキャンペーンが展開されていると伝えた。2014年から活動している.NETベースのキーロガーおよびリモートアクセス型の遠隔操作ウイルスがダークWeb市場で販売されている「Quantum Builder」によって配信されていることが明らかとなった。

  • Agent Tesla RAT Delivered by Quantum Builder With New TTPs

    Agent Tesla RAT Delivered by Quantum Builder With New TTPs

Quantum Builder(別名「Quantum Lnk Builder」)は、ショートカットファイルである「.lnk」ファイルを使って悪意のあるペイロードを読み込む環境寄生バイナリ(LOLBins: Living-Off-the-Land Binaries)攻撃型マルウェア。このキャンペーンでは、Quantum Builderを使用して悪意のあるLNK、HTA、PowerShellペイロードを生成し、標的のマシン上に遠隔操作ウイルスであるAgent Teslaを配信しているという。

Quantum Builderによって生成されたペイロードは高度な技術を採用していると分析されている。

主な技術は次のとおり。

  • 管理者権限で最終ペイロードを実行するために、Microsoft Connection Manager Profile Installer (CMSTP) バイナリを使用したユーザアカウント制御(UAC: User Account Control)バイパスおよび Windows Defender Exclusionsを実行する
  • 環境寄生バイナリを含む様々な攻撃ベクトルを統合した多段階感染連鎖の利用
  • 検知を回避するためのインメモリでのPowerShellスクリプトの実行
  • 感染後の被害者の注意をそらすためのデコイの実行

Zscalerは、この攻撃者は戦術を継続的に進化させ、サイバー犯罪市場で販売されているマルウェアを活用していると指摘している。また、検出を回避するための高度なテクニックが組み込まれており、そのテクニックは開発者によって定期的に更新されていると分析されている。