アメリカ合衆国のCISA(The Cybersecurity and Infrastructure Security Agency)、FBI(The Federal Bureau of Investigation)、およびCNMF(The Department of Defense Cyber National Mission Force)は2020年10月29日(米国時間)、「MAR-10310246-2.v1 – PowerShell Script: ComRAT | CISA」において、トロイの木馬型マルウェア「ComRAT」の新しい亜種が観測されたことを報告した。

ComRATは古くから情報機関などに対する攻撃に使われてきたマルウェアで、ロシアが関与するサイバー攻撃グループ「Turla」(SnakeやUroburosの別名でも知られる)によって積極的に用いられてきた。

MAR-10310246-2.v1 – PowerShell Script: ComRAT | CISA

今回報告されたのは、「ComRAT v4」として認識される64ビットDLLをロードするPowerShellスクリプトをインストールするPowerShellスクリプトの存在である。ComRAT v4は2020年5月頃に報告されたComRATの新バージョンで、従来のC&C (Communication & Controll)サーバーに加えてGmailをインタフェースとして通信する機能を有している。

今回の亜種には、32ビットおよび64ビットDLLのコミュニケーションモジュールが含まれており、このコミュニケーションモジュールがシステムのデフォルトブラウザに埋め込まれてComRAT v4ファイルと通信する。これによって、ComRATはGmailのWebインターフェースを使用してコマンドを受信し、データを盗み出すことができるという。

公開されたレポートには、ComRATの亜種に関する詳細な分析が掲載されている。

それに加えてCISAでは、組織のシステムのセキュリティ体制を強化するため、ユーザーと管理者に対して次のベストプラクティスの適用を検討するよう推奨している。