Matanbuchus 3.0経由でAstarionRAT拡散、MSIを悪用したClickFix手法を確認

Matanbuchus 3.0を利用したAstarionRAT配布事例を確認

Matanbuchus 3.0と呼ばれるマルウェアローダーが、AstarionRATの配布に悪用されている事例が確認された。攻撃者は「ClickFix」と呼ばれる手法を用い、被害者端末へMSIパッケージを実行させることで感染を図っている。

具体的には、利用者を誘導してmsiexec.exeコマンドを実行させる手口が確認されている。これにより、正規のインストーラープロセスを悪用し、悪意のあるコードをシステムへ導入する構造となっている。

初期段階でZillyaを悪用、検出回避を図る手口

攻撃の初期段階では、Matanbuchus 3.0がZillyaアンチウイルスに関連するDLLを悪用する挙動が確認されている。当該モジュールには、ChaCha20で暗号化されたデータやシェルコードが含まれており、AstarionRATの配布前に検出を回避する目的で利用されたとみられる。

この仕組みにより、エンドポイント防御製品による監視をすり抜け、感染環境内での活動継続や情報収集を可能にする構造となっている。攻撃者はこうした手法を通じて足場を確保し、その後のペイロード展開につなげている。

多機能化するAstarionRAT、組織環境への影響に警戒

AstarionRATは、ファイル操作、認証情報の取得、プロセス管理、システム情報の収集、SOCKS5トンネルの生成など、少なくとも24種類のコマンド機能を備えているとされる。これにより、感染端末の制御や情報収集が可能となる。

こうした機能は、内部ネットワークにおける横展開やデータ流出のリスクを高める要因となり得る。今回の事例は、既存のマルウェアローダーを介して多機能型RATが配布される構図を示すものといえる。

専門家は、プロセス監視の強化やログの可視化、脅威情報の共有を通じた早期検知体制の整備を呼びかけている。