NetSupport RAT－正規ソフトウェアからステルス型マルウェアへの変貌

NetSupport RAT は、もともと正規のリモートITサポートツール「NetSupport Manager」として開発されましたが、現在では不正なシステムアクセスを可能にするマルウェアとして悪用されています。

この脅威は2025年1月に拡大傾向が確認されており、高度なフィッシング手法、偽のブラウザ更新通知、そして最近ではClickFixと呼ばれる初期アクセス手法を通じて拡散されています。主な標的は教育機関、政府機関、ビジネスサービス業界であり、特に米国の組織における被害が顕著です。

初期アクセスは、ClickFixと呼ばれるソーシャルエンジニアリング手法によって行われます。これは、偽のCAPTCHAページやブラウザ更新のポップアップを表示することでユーザを騙し、悪意のあるPowerShellコマンドを実行させるというものです。

このスクリプトは、%APPDATA% ディレクトリ内にランダムなフォルダを作成し、攻撃者が管理するサーバからNetSupport RATのペイロードと設定ファイルをダウンロードします。これらのファイルは、.png拡張子を使って検知を回避することが多く、PowerShell経由で実行されることで、攻撃者に完全なリモート制御権限を与えます。

永続化のために、レジストリのRunキーやスタートアップフォルダへのショートカット作成が行われ、システム再起動後も自動的に実行されるようになります。
NetSupport RATが有効化されると、攻撃者は画面の監視、キーボードやマウスの遠隔操作、ファイルのアップロード・ダウンロード、任意コマンドの実行、スクリーンショットの取得、音声・映像の録音、機密ファイルへのアクセスなどを通じて、システムを完全に制御することが可能になります。

C2（コマンド＆コントロール）通信はHTTP経由で攻撃者のインフラと接続され、リアルタイムでの制御とデータ窃取が可能になります。

etSupport RATは、正規のITツールを武器化し、ClickFixのような巧妙なソーシャルエンジニアリング手法を組み合わせることで、極めてステルス性の高い攻撃を実現しています。これに対抗するには、行動ベースの検知と適応型セキュリティ対策の強化が不可欠です。

・自社環境におけるIoC（侵害の兆候）を監視し、異常を早期に検知する。
・Windows環境を最新の状態に保ち、多要素認証（MFA）を導入して保護を強化する。
・包括的な脅威評価（フルスペクトラムアセスメント）を実施し、盲点や改善点を洗い出す。

※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。

本稿は、KPMGインドが発行している「Threat Intelligence Advisories 」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。

• Blind Eagle－クラウドサービスを悪用するサイバースパイ活動（4/1）
• Earth Alux－精密なツールキットで隠密戦術を展開するAPTグループ（4/8）
• NightSpire－製造業を狙う新興ランサムウェアグループ（4/30）