Pythonベースの新種の遠隔操作ウイルス「PY#RATION」が驚異的に脅威な理由

SecuronixはPythonベースの遠隔操作ウイルス（RAT）による新たな攻撃キャンペーンおよびマルウェアを特定した。これらは「PY#RATION」と名付けられており、幾つかの特徴から脅威として要注意すべきだ。

[後藤大地，有限会社オングス]

　セキュリティ企業のSecuronixは2023年1月25日（現地時間）、同社のブログで、Pythonベースの遠隔操作ウイルス（RAT）による新たな攻撃キャンペーンを特定したと伝えた。同社はこの攻撃キャンペーンおよびマルウェアを「PY#RATION」と名付けている。PY#RATIONは幾つかの点で驚異的であり、十分に注意する必要がある。

SecuronixはPythonベースのマルウェアPY#RATIONを発見したと伝えた（出典：Securonixのブログ）

なぜPY#RATIONは驚異的なのか？

　PY#RATIONの最大の特徴は、セキュリティソフトウェアによる検出が困難という点だ。Securonixはウイルスチェックサービス「VirusTotal」で、PY#RATION v1.6.0をチェックしたところ、70分の1しか検出されなかった。

　その他ブログでは、PY#RATIONはPythonをベースにしつつも実行ファイルにパックされているため、悪意あるコードを検出することがさらに困難になっているという点にも言及がある。

　ベースとなる言語としてPythonが使われているため、「Windows」だけでなく「Mac」や「Linux」といったほぼ全てのOSで展開可能という特徴もある。Pythonパッケージは必要な全てのライブラリが実行可能ファイル自体に自己完結型としてまとめられるため、感染の面においても都合がいい。

　PY#RATIONは、他の遠隔操作ウイルスと同様、感染したホストにおける制御と永続的な接続性を確立するとともに、データ窃取やキーロギングなどさまざまな機能を備えている。検出を回避するためにC2サーバと窃取したデータのやりとりの双方にWebSocketを使うという特徴もある。

　Securonixは、マルウェアを開発する目的でPythonが使われるケースが増加していると指摘している。同社によれば、最終的に単体で配布可能な実行ファイルにパックすることが可能で、クロスプラットフォームのサポートが容易であることがこうした状況の原動力になっている。同じ状況はGoでも発生しており、同言語もマルウェア開発用のプログラミング言語として人気が高まっているという。