感染したPCの遠隔操作も可能 日本を狙う多層型マルウェア「MostereRAT」の手口：セキュリティニュースアラート

Fortinetは新たな攻撃キャンペーン「MostereRAT」の分析結果を公開した。攻撃者は感染したPCを遠隔操作でき、長期的な侵入を維持できるという。

[後藤大地，有限会社オングス]

　Fortinetは2025年9月8日（現地時間）、新たな攻撃キャンペーンに関する分析結果を公開した。本件で確認したマルウェアは「MostereRAT」と名付けられており、「Windows」環境を標的にしている。攻撃を受けた場合、感染したシステムが攻撃者に完全に操作される危険がある。

多層型マルウェア「MostereRAT」の実態と脅威

　攻撃は日本の利用者を狙ったフィッシングメールから始まる。業務連絡に見せかけた電子メールに不正なリンクが仕込まれており、受信者がリンクを開くと自動的に不正ファイルがダウンロードされる。ダウンロードされている「Microsoft Word」文書には圧縮ファイルが埋め込まれており、開封を促す指示が記載されている。利用者が指示に従って実行すると「document.exe」と呼ばれる実行ファイルが展開され、次の段階に進むための準備が整う。

　このプログラムは暗号化されているツール群を内部に含んでおり、それを復号してシステムに展開する。配置場所は「C:\ProgramData\Windows」とされ、管理者権限を伴うサービスを登録する仕組みを備えている。サービスはシステム起動時に自動実行され、攻撃者が用意したRubyスクリプトや専用ランチャーを介して次の処理が始まる。利用者には中国語の偽メッセージが表示され、あたかも動作しなかったように見せかけつつ感染拡大を狙う。

　中国語圏で普及している「Easy Programming Language」（EPL）を悪用している点がMostereRATの特徴の一つとされている。EPLによるコードは専用のランチャーと連携して動作し、複数のモジュールが順番に読み込まれる。モジュール「maindll.db」は永続化の仕組みを提供し、タスクスケジューラやサービスを利用して繰り返し起動される構造を持つ。Windowsの「TrustedInstaller」権限を不正に利用して最高レベルの権限を取得できる機能も確認されている。

　セキュリティ製品の妨害もしており、複数のアンチウイルスやEDR製品のインストールパスやプロセス名を参照し、該当するものが稼働していれば通信を遮断する機能が実装されている。「Windows Defender」を含む標準的な保護機能の停止や更新サービスを無効化する手口も備えている。

　モジュール「elsedll.db」は高度な遠隔操作機能を持つ。利用者のキーボード入力の記録や画面のキャプチャー、システム情報の収集、コマンド制御の送受信など、多岐にわたる機能が確認されている。通信はTCPポート8000を用い、相互認証付きTLS（mTLS）で暗号化されており、なりすましや盗聴を防ぐ設計だ。

　攻撃者は「AnyDesk」や「TightVNC」「RDP Wrapper」など、一般的に知られている遠隔操作ツールを組み込むことで、感染したPCを実際に操作可能な状態に置くことができる。管理者権限を持つ隠しアカウントを作成し、ログイン画面から見えないように設定する機能も備えている。これにより、攻撃者は長期的な侵入を維持できる。

　この攻撃キャンペーンは従来のマルウェアに比べて多層的かつ巧妙だと指摘されている。EPLによる段階的な展開、セキュリティ製品の通信遮断、正規のリモートアクセスツールの悪用など、検知や分析を困難にする要素が組み合わされている。組織においてはソフトウェアを最新の状態に保つことに加え、利用者が不審なメールやファイルに安易に応じないよう教育を徹底することが求められる。