アメリカ合衆国のCISA(The Cybersecurity and Infrastructure Security Agency)、FBI(The Federal Bureau of Investigation)、およびCNMF(The Department of Defense Cyber National Mission Force)は2020年10月29日(米国時間)、「MAR-10310246-2.v1 – PowerShell Script: ComRAT | CISA」において、トロイの木馬型マルウェア「ComRAT」の新しい亜種が観測されたことを報告した。

ComRATは古くから情報機関などに対する攻撃に使われてきたマルウェアで、ロシアが関与するサイバー攻撃グループ「Turla」(SnakeやUroburosの別名でも知られる)によって積極的に用いられてきた。

  • MAR-10310246-2.v1 – PowerShell Script: ComRAT|CISA

    MAR-10310246-2.v1 – PowerShell Script: ComRAT | CISA

今回報告されたのは、「ComRAT v4」として認識される64ビットDLLをロードするPowerShellスクリプトをインストールするPowerShellスクリプトの存在である。ComRAT v4は2020年5月頃に報告されたComRATの新バージョンで、従来のC&C (Communication & Controll)サーバーに加えてGmailをインタフェースとして通信する機能を有している。

今回の亜種には、32ビットおよび64ビットDLLのコミュニケーションモジュールが含まれており、このコミュニケーションモジュールがシステムのデフォルトブラウザに埋め込まれてComRAT v4ファイルと通信する。これによって、ComRATはGmailのWebインターフェースを使用してコマンドを受信し、データを盗み出すことができるという。

公開されたレポートには、ComRATの亜種に関する詳細な分析が掲載されている。

それに加えてCISAでは、組織のシステムのセキュリティ体制を強化するため、ユーザーと管理者に対して次のベストプラクティスの適用を検討するよう推奨している。

  • 最新のウイルス対策エンジンと定義ファイルを維持する
  • OSを最新の状態に保つ
  • ファイルとプリンタの共有サービスを無効にする
  • 望ましくないソフトウェアを使用するユーザーの権限を制限する
  • 強力なパスワードポリシーを適用する
  • 電子メールの添付ファイルを開く時は細心の注意を払う ファイアウォールを有効にして未承諾の接続要求を拒否する
  • 不要なサービスを無効にする
  • 疑わしい電子メールの添付ファイルをスキャンして削除する。
  • ユーザのWebブラウジングを監視し、不適切なWebサイトへのアクセスを制限する
  • リムーバブルメディアを使用する場合は注意を払う
  • インターネットからダウンロードしたすべてのソフトウェアは実行前にスキャンする
  • サイバー脅威に関する最新の動向をチェックし、適切なアクセス制御リストを作成する