njRAT(別名Bladabindi [ 1])は、ユーザーインターフェースを備えたリモートアクセス型トロイの木馬( RAT)であり、プログラムの所有者がエンドユーザーのコンピュータを制御することを可能にします。2013年6月に初めて発見され、いくつかの亜種は2012年11月まで遡ります。M38dHhMと呼ばれる様々な国のハッカー組織によって作成され、中東の標的に対してよく使用されました。フィッシングや感染ドライブを介して拡散する可能性があります。現在までに、このウイルスには多くのバージョンが存在し、最も有名なのはnjRAT Green Editionです。
| njRAT | |
|---|---|
| 開発者 | M38dHhM |
| 最終リリース | 0.7d
|
| 書かれた | ビジュアルベーシック.NET |
| オペレーティング·システム | マイクロソフトウィンドウズ |
| タイプ | リモートアクセス型トロイの木馬(RAT) |
プログラムとその所在について
2014年7月にはインドでnjRAT攻撃の急増が報告された。[2] njRATの機能を無効化するために、マイクロソフトは2014年に400万のウェブサイトをダウンさせ、no-ip.comドメインを経由するトラフィックをフィルタリングしようとした。[3]
2016年3月、Softpediaは、njRATなどのリモートアクセス型トロイの木馬を拡散するスパムキャンペーンがDiscordを標的にしていると報じました。[4] 2020年10月には、SoftpediaはPastebin経由でnjRATをダウンロードする、クラックされたVMwareダウンロードの出現も報告しました。このプロセスを終了すると、コンピュータがクラッシュします。[5]
2017年3月、イスラム国のウェブサイトがハッキングされ、偽のAdobe Flash Playerアップデートのダウンロード画面が表示されましたが、実際にはnjRATトロイの木馬がダウンロードされました。[6]
2023年1月、中東でトロイの木馬感染のアウトブレイクが発生しました。攻撃者は政治的な会話を装った.cabファイルを使用し、ファイルを開くと.vbsスクリプトが起動し、クラウドからマルウェアをダウンロードしました。[7]
建築
njRATは、多くのリモートアクセス型トロイの木馬と同様に、リバースバックドアの原理に基づいて動作します。つまり、攻撃者のコンピュータ上で開いているポートが必要になります。マルウェア(クライアント)を作成して開くと、攻撃者のサーバーはクライアント側からのリクエストを受け取ります。接続に成功すると、攻撃者はクライアント側で処理されたコマンドをサーバーに送信することで、被害者のコンピュータを制御できるようになります。
検出
NjRAT の一般的なウイルス対策タグは次のとおりです。
- W32.バックドア.ブラダビンディ
- バックドア.MSIL.Bladabindi
- バックドア/Win.NjRat.R512373
このトロイの木馬の標準バージョンには暗号化アルゴリズムがないため、ウイルス対策ソフトウェアによって容易に検出されます。しかし、攻撃者は手動で暗号化することで、一般的なウイルス対策ソフトウェアでは検出されなくなります。
参考文献
- ^ "MSIL/Bladabindi". www.microsoft.com . Microsoft . 2017年6月5日閲覧。
- ^ 「ハッキングウイルス『Bladabindi』がインドのWindowsユーザーを標的に個人情報を盗む:Cert-In - Tech2」Tech2、2014年7月27日。2017年6月22日時点のオリジナルよりアーカイブ。 2017年6月5日閲覧。
- ^ ブライアン・クレブス「マイクロソフト、マルウェア対策で4MMサイトを暗殺 ― クレブスによるセキュリティ解説」krebsonsecurity.com . 2017年6月5日閲覧。
- ^ Cimpanu, Catalin. 「VoIPゲームサーバーがリモートアクセス型トロイの木馬(RAT)の拡散に悪用される」Softpedia . 2017年6月5日閲覧。
- ^ Cimpanu, Catalin. 「PasteBinにホストされたRATがBSODを引き起こす」Softpedia . 2017年6月5日閲覧。
- ^ コックス、ジョセフ. 「ハッカーがイスラム国のサイトを攻撃、マルウェア拡散に利用」.マザーボード. 2017年6月5日閲覧。
- ^ 「トロイの木馬NjRATが中東と北アフリカを「歩き回る」 - Security Lab」。Security Labs 。 2017年6月5日閲覧。
