Salat Stealer、QUICとブロックチェーン利用しWindows標的

Salat Stealer、ブロックチェーン利用C2通信を確認

Salat Stealerと呼ばれるマルウェアファミリーにおいて、ブロックチェーン基盤を利用したC2通信手法が確認されている。本マルウェアはGo言語で開発されたRAT（リモートアクセス型トロイの木馬）であり、QUICおよびWebSocketを利用した通信を行う構成となっている。

Salat Stealerには、リモートシェル操作、デスクトップおよびWebカメラ関連機能、キーロギング、クリップボード情報取得などの機能が含まれている。また、ブロックチェーン基盤を利用することで、通信インフラの継続性を確保する構成が確認されている。

QUIC通信と持続化機能を利用した実行構成

Salat Stealerは、長期的なシステムアクセスを維持する構成を備えたRATとして確認されている。実行ファイルはUPXで圧縮され、正規プロセスを利用した実行方式が用いられている。

通信には主にQUICおよびWebSocketが使用され、環境によってはHTTP/2通信も利用される。取得したシステム情報は初期ビーコン通信を通じてC2へ送信される構成となっている。

また、C2関連情報はバイナリ内部で暗号化されており、複数のドメインやポートを利用して通信が行われる。さらに、DNS-over-HTTPSを利用してブロックチェーン基盤から代替C2設定を取得する機能も確認されている。

持続化機能としては、隠しファイルの作成に加え、スケジュールタスクやレジストリRunキーを利用した自動実行設定が含まれている。

通信監視と検知運用上の課題

Salat Stealerでは、QUICやWebSocketを利用した通信に加え、TON関連のDNS-over-HTTPS通信を利用する構成が確認されている。これにより、通常のWebトラフィックに類似した通信が発生するケースがある。

また、WebSocketを利用した通信や暗号化されたC2設定取得が行われることで、従来の検知方式では識別が難しい場面も想定される。こうした挙動に対しては、通信内容やプロセス挙動を含めた分析の重要性が指摘されている。