本記事では,CYNEX Co-Nexus Aの解析活動の一環としてAsyncRATを解析した結果を紹介します.なお,本解析は2025年2月および5月に実施したものとなります.
AsyncRATとは,リモートアクセス型のトロイの木馬(Remote access trojan, RAT)であり,2019年にGitHubでソースコードが公開されて以降,その汎用性の高さから様々な攻撃者により不特定多数をターゲットにしたばら撒き型の攻撃キャンペーンにより世界中で被害が発生しています.NICTでは,2024年7月と11月に2度AsyncRATの解析・観測を行っていました.今回は昨年度に引き続き,未だに猛威を振るっているAsyncRATの最新検体を実行し,攻撃者の活動を観測・分析した結果を紹介します [1][2][3].
2025年2月および5月にAsyncRATの検体4件を解析しました.国内セキュリティベンダのブログでQuasarRAT関連検体を添付したばら撒き型メールの情報を入手し,標的に日本を含むキャンペーンである可能性があるため選定しました [4].これらの検体では,実行後に攻撃者による次のようなリモートデスクトップ操作が行われました.
1件目:ファイルの探索,テキストファイルの作成,ユーザアカウントコントロールパネルの起動など
2件目:ブラウザ起動,リモートデスクトップツールのダウンロードなど
3件目:ブラウザ起動,ウォレット画面の閲覧
4件目:ブラウザ起動,Gmailへのアクセス
各検体がどのような挙動を示したのか,解析結果を以降で示します.
各挙動について,詳細を以降で示します.
アンチウイルスソフトの確認
攻撃者は,スタートメニューからアプリケーション一覧をスクロールして端末内のアプリケーションを確認し,サンドボックス環境にインストールしていたセキュリティ製品のフォルダを開いた後マウス操作を数分間停止しました.
マウス操作停止の理由として,セキュリティ製品と思われるソフトウェアの名前からアンチウイルスソフトと推測し,攻撃者自身の端末でセキュリティ製品について調査していたためと推測しています.
ファイルの探索
攻撃者はエクスプローラーの画面を開き,エクスプローラーの左のナビゲーションウィンドウにある「ダウンロード」,「ドキュメント」,「ピクチャ」,「ビデオ」,「ミュージック」のフォルダを順番に確認しました.これらのフォルダの中にダミーファイルが存在しなかったため,この時点で感染端末が解析環境であることに気づいた可能性があると推測しています.
テキストファイルの作成
攻撃者は,デスクトップ上に空のテキストファイル「新しいテキスト ドキュメント.txt」などを作成し,作成したファイルをコピー&ペーストで大量に生成しました.この挙動から,ファイルの探索で解析環境であることに気づき,そのいら立ちから嫌がらせ行為を実施したと推測しています.
ユーザアカウントコントロールパネルの起動
テキストファイルをデスクトップ上に大量生成したのち,攻撃者はコントロールパネルを開いてユーザアカウントコントロールパネルの起動を試みましたが,AsyncRATをユーザ権限で実行していたため権限が不足し,起動に失敗しました.この挙動から,攻撃者は新たなユーザアカウントの作成,もしくは既存アカウントの情報窃取を試みたと推測しています.
本検体は2025年5月9日(金)から5月12日(月)の期間に観測を行いました.当該期間における検体の挙動を以下に示します.
5月9日(金)15時49分に,攻撃者はリモートデスクトップツールであるScreenConnectをダウンロードしました.その後リモートデスクトップ操作を行い,Microsoft Edgeを起動し特定のURLへのアクセスを試みました.このURLはScreenConnectの接続先であると推測しています.しかし通信には失敗し,その後ScreenConnectのインストーラを実行しましたが,AsyncRATをユーザ権限で実行していたため権限不足によりインストールも失敗しました.リモートデスクトップ操作が終わった後,インストーラはデスクトップに残っていました.
後日,5月11日(日)15時45分に,攻撃者は再びリモートデスクトップ操作を行い,デスクトップに残っていたScreenConnectのインストーラをゴミ箱に移動させました.しかし,インストーラはゴミ箱に移動したのみで完全に削除はされず,観測が終わるまでゴミ箱に残っていました.
この挙動から,攻撃者は5月9日(金)に使用したインストーラの削除が完了していないことに気づき,5月11日(日)にインストーラをゴミ箱に移動したのではないかと推測しています.また,ScreenConnectをインストールしようとした理由は,セキュリティ製品による検知を回避するためと考えられます.ScreenConnectは正規のリモートデスクトップツールであるため,正規ツールを利用することで検知を回避し,不正アクセスを継続しようとしていたと推測しています.
本検体は2025年5月9日(金)に観測を行いました.検体の挙動を以下に示します.
2025年5月9日(金) 12時19分,検体は実行直後にC2サーバからパスワードリカバリツールをダウンロード・実行し,Outlookに保存されたメールアドレスやパスワードなどのアカウント情報を窃取していました.
その約10時間後に,Microsoft Edgeのウォレット画面を開き,金融関連のアカウント情報を閲覧していました.この挙動から,パスワードリカバリツールで入手したアカウント情報とウォレット情報が一致しているかどうかを確認し,金融機関のアカウントを窃取しようとしたと推測しています.観測環境ではブラウザにウォレット情報を保存していなかったため攻撃者は情報を窃取することができず,活動を終了しました.
本検体は2025年5月30日(金)に観測を行いました.検体の挙動を以下に示します.
AsyncRATの実行後,攻撃者は二次検体としてQuasarRATをダウンロードしました. QuasarRATの実行直後にリモートデスクトップ操作を行いGoogle ChromeとMicrosoft Edgeを起動し,Gmailにアクセスしてメールの閲覧を試みました.
Gmailがログイン状態でないことが判明した後,ブラウザに保存されたプロファイル情報を確認してGmailのアカウントを探索していました.しかし,感染端末にはプロファイル情報が保存されていなかったため,Gmailへのアクセスは失敗しました.攻撃者は,Gmailにログイン済みのブラウザを利用したメール閲覧を目的としていたと推測しています.
また,AsyncRAT自体がリモートデスクトップ機能を備えているにも関わらず,2次検体としてQuasarRATをダウンロードしてリモートデスクトップ操作を行った理由については,①AsyncRATが検知・除外されても攻撃を継続できるように別ファミリのRATをダウンロードした,②攻撃者は今後別のキャンペーンでQuasarRATを利用する計画があり動作テストを行っている,③AsyncRATの攻撃者はイニシャルアクセスブローカーの一種で,他の攻撃者に感染端末へのアクセス権を販売することで利益を得ておりQuasarRATは他の攻撃者に提供するRATとして導入された,といったことなどが考えられますが,正確な目的は今回の観測では特定できませんでした.
今回は,我々のSTARDUSTを用いた取り組みの一環で行ったAsyncRATの観測について,その結果を共有しました.今回の解析では4つの検体の観測を行い,検体(攻撃者)毎に異なるリモートデスクトップ操作(情報窃取やファイル操作,設定変更など)を観測することができました.AsyncRATはばら撒き型として使用されることが多いマルウェアですが,今回の解析においても検体によって異なる挙動を示したことから,様々な攻撃者が様々な目的で使用していることが分かりました.また,検体の2つ目がScreenConnectのインストールを試みましたが,日本ではあまりメジャーではないツールと考えらえるため,海外のアクターによる攻撃だったと推測しています.
そのため,組織や個人に関わらず全ての人がAsyncRATによる被害を受ける可能性があり,感染すると個人情報の窃取・企業や組織の機密情報の窃取・窃取した情報を使用した脅迫など深刻な被害が発生する可能性があります.AsyncRATによる被害のリスクを下げるには以下のような対策が考えられます.ぜひ実施いただければと思います.
我々は,今後もSTARDUSTを用いて観測した攻撃について発信を行っていく予定です.
[1] https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/
[2] https://blog.nicter.jp/2024/07/asyncrat/
[3] https://blog.nicter.jp/2024/11/asyncrat-stardust/
[4] https://www.daj.jp/bs/d-alert/bref/?bid=1492&year=2025&month=5
Posted:SPKD and Takayuki SATO (Hitachi, Ltd.), Shingo YASUDA (NICT)
©2026 Cybersecurity Nexus
