libraryライブラリー

2026-02-27レポート

STARDUSTを用いたQuasarRATの解析

本記事では，CYNEX Co-Nexus Aの解析活動の一環としてQuasarRATを解析した結果を紹介します．なお，本解析は2025年2月に実施したものとなります．

1. QuasarRATとは

QuasarRATとは，Windows向けのリモートアクセス型トロイの木馬（Remote Access Trojan，RAT）の一種で，感染したシステムを攻撃者が外部から遠隔操作できるようにするマルウェアです．2014年にGitHubでソースコードが公開されて以降，ばら撒き型のメールキャンペーンで継続的に悪用されているほか，標的型攻撃でも悪用されており，2020年にはAPT10が日本の組織を狙った事例も観測されています[1][2]．
2024年度にも複数の事例が観測されています．2024年6月にはコロンビアとエクアドルの政府関連機関を狙うAPTグループ「BlindEagle」が，税務当局を装ったフィッシングメールを使って，カスタマイズしたQuasarRATに感染させるキャンペーンが観測されました．その際の攻撃フローを以下に示します[3]．

また，2024年5月頃には情報窃取型マルウェア「ViperSoftX」が，二次検体としてQuasarRATをダウンロードするキャンペーンも観測されました[4]．「ViperSoftX」は，有料ソフトウェアを無料で使用できるクラック版ソフトウェアに偽装した情報窃取型マルウェアです．

QuasarRATの設定ファイル
QuasarRATの基本動作は設定ファイルに記載されており，通信先や永続化の方法，情報窃取機能の有無などを確認できます．難読化されておらず，QuasarRATのバージョンが一致している検体であれば，抽出ツール[5]や公開サンドボックスサービス[6]を利用して容易に抽出可能です．今回観測した事例では，全ての検体で設定ファイルを抽出できました．

メール監視システムにおけるQuasarRATの着弾状況
実在組織が運用するメール監視システムではQuasarRATはほとんど観測されておらず，2024年4月から2025年8月に23件のみ検知されています．セキュリティベンダなどのレポートでも検知数の上位には含まれておらず，RemcosなどのRATと比較すると，ばら撒き型メールに添付される機会は少ないものと思われます．

2. 解析結果

ここからは，実際にSTARDUST環境でQuasarRATの観測を行った結果をご紹介します．
2024年4月から2025年8月の期間で，日本のユーザが標的に含まれており進行度が高いQuasarRATを5件発見しSTARDUSTで観測を行いました．進行度とは，攻撃活動の進行状況を1~8で段階的に示す指標であり[7]，NICTなどのデータセットに基づいて攻撃活動の進行度を示すために作成され，STARDUSTにおける検体観測の分析でも使用しているものです．
今回観測した5件は攻撃者による攻撃を観測できた進行度7以上の検体となっています．
観測の結果，5件とも二次検体や攻撃の目的が異なっており，様々な攻撃者に利用されている可能性が高いと推測しています．マルウェアが自動で攻撃を実行する場合，通常は実行直後から数秒以内に攻撃が発生しますが，今回実行した検体では最短で23分のタイムラグがありました．攻撃者は手動で攻撃を実施している可能性が高く，活動時間帯は日本時間の15時から22時と幅がありました．

今回は，上記の5件のうち攻撃活動を継続的に観測できた進行度8の3件について詳細をご紹介します．これらの検体では，攻撃者による次のようなリモートデスクトップ操作が行われました．
1件目：偽サポート画面の表示
2件目：ランサムウェアの脅迫文表示
3件目：ファイルの窃取
各検体がどのような挙動を示したのか，解析結果を以降で示します．

2.1 解析結果（1件目）

観測・解析した1件目の検体の概要を以下に示します．

本検体は2025年2月19日（水）から2月21日（金）の期間に観測を行いました．国内セキュリティベンダのブログでQuasarRAT関連検体を添付したばら撒き型メールの情報を入手[8]したところ，標的に日本を含むキャンペーンの可能性があるため選定しました．当該期間における検体の挙動を以下に示します．

QuasarRATを実行した2月19日（水）は自身のコピーとC2サーバへの定期通信に留まりましたが，2月20日（木）と2月21日（金）の日本の営業時間中に，二次検体（Xworm）のダウンロード・実行や偽サポート画面の表示といった挙動を観測できました．

QuasarRATによる二次検体のダウンロード
2月20日（木）と2月21日（金）にダウンロードされたXwormのうち，2月20日（木）のXwormはエラーで即終了しましたが，2月21日（金）にダウンロードされたXworm(*)はC2サーバとの通信に成功しました．通信や設定ファイルを確認したところ，QuasarRATと２つのXwormは同じC2サーバが接続先となっていたことが分かりました．
また，VirusTotalで調査した結果，2月20日（木）のXwormはVirusTotalへの投稿が確認されましたが，2月21日（金）のXwormは現在（2025年12月16日）も投稿が確認されませんでした．通常，大規模にばら撒かれたマルウェアであれば複数の地域で発見・報告されるためVirusTotalへ投稿されますが本検体は投稿が確認されなかったことから，2月21日（金）の検体は小規模にばら撒かれたのではないかと推測しています．
(*)VirusTotal等の主要なサンドボックスサービスでの投稿は確認できなかったが，通信先が1件目のXwormと全く同一で，実行後にRATの挙動を示したことから1件目を改良したXwormであると推測しています．

Xwormによる偽サポート画面の表示
2月21日（金）にダウンロードされたXwormは，C2サーバからの指示を受けてMicrosoft Edgeを起動し，デスクトップに日本語の偽サポート画面を表示しました．QuasarRATが最初に感染端末の地理情報を取得していたことから，攻撃者は取得した地理情報をもとに日本語の偽サポート画面を表示した可能性が高いと考えています．
また，日本の営業時間中に偽サポート画面が表示されたことから，業務中の日本人に偽サポート画面を見せて偽サポートへ連絡させることを狙っていた可能性が高いと推測しています．表示された偽サポート電話番号に連絡すると，攻撃者がリモート操作をするためのツールをインストールするように誘導され，最終的には金銭を要求されたという調査結果が報告[9]されています．

OSINT調査結果：偽サポート画面
Xwormが表示した偽サポート画面は，2023年12月にIPAが注意喚起したサポート詐欺の画面や電話番号[10]と類似しており，今回観測した事例は1年以上続くサポート詐欺キャンペーンの一環である可能性が高いと推測しています．さらに，SNSでも類似の画面が表示される被害が2025年2月下旬に報告されており，日本を標的としたサポート詐欺のキャンペーンが今年の2月に活発化していた可能性があります．

OSINT調査結果：C2サーバの稼働期間
QuasarRATとXwormの通信先C2サーバ（185[.]208[.]159[.]150）をCensysで調査したところ，QuasarRATの定期通信用ポート（7070/TCP）が開いた期間は2月14日（金）から24日（月）の11日間のみとなっていました．このため，攻撃者は約10日間で1つの攻撃を終了し，別のC2サーバと検体に切り替えている可能性があると推測しています．

Xwormをダウンロードした理由
この観測事例で着目するべき点として，QuasarRATはリモートデスクトップ操作機能を備えており偽サポート画面を表示できるにも関わらず，QuasarRATと同様の機能を持つXwormをダウンロードしていることが挙げられます．Xwormをダウンロードした理由として，QuasarRATとXwormはそれぞれ別の攻撃者グループによって運営されており，QuasarRATの攻撃者グループがイニシャルアクセスグループとして初期侵入し，定期通信成功後にXworm側の攻撃者グループへC2サーバを売り渡したもしくはC2サーバ等のインフラの利用権を販売したのではないかと推測しています．このようにRATが別ファミリのRATを二次検体として使用する動きはAsyncRATの観測でも確認されており，ほかにも多くの攻撃グループが利用している手法である可能性があります．

2.2 解析結果（2件目）

観測・解析した2件目の検体の概要を以下に示します．

本検体は2025年7月23日（水）から7月25日（金）の期間に観測を行いました．国内セキュリティベンダのブログでQuasarRAT関連検体を添付したばら撒き型メールの情報を入手[11]したところ，標的に日本を含むキャンペーンの可能性があるため選定しました．当該期間における検体の挙動を以下に示します．

7月23日（水）と24日（木）は定期通信のみに留まりましたが，7月25日（金）に二次検体のダウンロードや，デスクトップへの脅迫文の表示といった挙動を観測できました．

QuasarRATによる二次検体のダウンロードと脅迫文の表示
検体を実行してから2日後の7月25日（金）22時52分に「5日後の7月30日までに5名に二次検体を拡散しなければ，ランサムウェアに感染する」といった脅迫文を表示されました．

攻撃者は脅迫文の表示とあわせて，デスクトップに二次検体の.batファイルとJavaScriptファイルを配置しましたが，この2つのファイルを実行した痕跡はありませんでした．この二次検体が実行されなかったため攻撃が終了したと判断し，脅迫文の期限である7月30日（水）前に観測を終了しました．脅迫文に記載されている期限を超えた場合は，脅迫文の通りランサムウェアに感染させられた可能性があります．

二次検体（batファイルとJavaScriptファイル）の挙動
デスクトップに配置された二次検体（batファイルとJavaScriptファイル）はどちらも難読化されたスクリプトであり，検出されにくい仕様となっていました．実行すると，メモリサイズとCPUの種類を確認したのちexplorer.exeへのプロセスインジェクションを実行し，最終的にRATが起動するというものでした．開始直後にメモリサイズとCPUの種類を確認する処理は，解析環境かどうかを判定するためと考えられます．このことから，これらのスクリプトは解析環境を検知して挙動を変える機能を備えていた可能性が高いと推測しています．
また，RATはQuasarRATと同じC2サーバへの通信を試みましたが，C2サーバが既に停止していたため定期通信後の挙動については不明のまま終了しました．おそらく，このRATも脅迫文を表示して不幸の手紙型に感染の拡散を狙うものだったのではないかと推測しています．

不幸の手紙型のマルウェア
本検体のように不幸の手紙型に拡散を狙った事例は珍しいですが，過去にも事例が報告[12]されています．しかしながら，脅迫文が表示されたからといって拡散させる人が多いとは考えられず，拡散の効率は非常に悪いと思われます．また，本当に5人に拡散したのか攻撃者が把握することは困難と考えられますが，本検体の場合は脅迫文の下にあるテキスト入力欄を使って，拡散させたことを攻撃者へ報告するように作られていたと推測しています．しかし，拡散したからといってマルウェアへの感染を免れる可能性は低く，またどんな挙動にせよマルウェアを拡散させる行為は許されるものではないため注意が必要です．

2.3 解析結果（3件目）

観測・解析した3件目の検体の概要を以下に示します．

この動作フローにおける主なファイルや通信先の情報は以下の通りです．

本検体は2025年7月30日（水）から8月1日（金）の期間に観測を行いました．国内セキュリティベンダのブログでQuasarRAT関連検体を添付したばら撒き型メールの情報を入手[13]したところ，標的に日本を含むキャンペーンの可能性があるため選定しました．当該期間における検体の挙動を以下に示します．

一次検体を実行した7月30日（水）に三次検体であるRATをダウンロードし，その三次検体のRATに必要なツールを追加でダウンロードした後に様々なコマンドを実行し，最終的に文書ファイルをパスワード付きZipファイルにして持ち出しました．7月31日（木）以降は定期通信に留まりました．

QuasarRATによるリモートデスクトップ操作
7月30日（水）の22時38分にQuasarRATがリモートデスクトップ操作を実施し，Windowsデスクトップ画面左下の検索欄で「dis」の文字列を含むアプリケーションを検索し，その直後にリモートデスクトップ操作を終了しました．この挙動から，解析環境かどうかを調査するためにディスアセンブラなどのツールを検索していた可能性，または「dis」という文字列を含むアプリケーションを検索していた可能性が高いと推測しています．

三次検体（RAT）のダウンロードと追加ツールのダウンロード
7月30日（水）の22時51分にQuasarRATがC2サーバから三次検体（RAT）をダウンロードし実行しました．三次検体（RAT）は実行後に通信を開始し，追加ツールと関連するdllファイルをダウンロードしました．実行時の動作フローとダウンロードしたファイルを以下に示します．WinRARやSQLite3など，これからの攻撃に利用すると思われるツール一式をダウンロードしていました．

三次検体（RAT）の活動
三次検体はツール一式をダウンロードした後，以下の表に示した挙動を実施しました．各挙動はすべて1秒以内に完了しているため，三次検体がスクリプトを受信して自動実行していた可能性が高いと推測しています．

以降で上記挙動の詳細を解説します．

三次検体（RAT）による検知回避
ツール一式をダウンロードした後以下に示した検知回避のコマンドを実行し，①RAT自身の隠蔽，②Windows Defenderの検知除外への自身の追加，③Windows Defenderの各機能停止を試みています．これらの挙動は，本格的な情報収集活動の事前準備である可能性が高いと推測しています．

三次検体（RAT）による端末調査
7月30日（水）の22時54分01秒に，三次検体（RAT）が端末情報の収集（1回目）を開始しました．実行したコマンドはシステム情報を表示するsysteminfoや実行中のプロセス一覧を表示するtasklistなどの典型的なコマンドが中心でしたが，PowerShellを利用してスクリーンショットやクリップボードの情報を取得していました．この一連の挙動が1秒以内に実行されているため，攻撃者はあらかじめ収集内容を決めたスクリプトを使った可能性が高いと考えています．

2回目の端末情報の収集は7月30日（水）の22時54分08秒に開始されました．この挙動は，1回目の端末情報の収集から7秒後，ファイル探索とファイル窃取の後に実行されました．1回目の収集と同様に，一連の挙動が1秒以内に実行されています．

三次検体（RAT）によるファイル探索とファイル窃取
情報の収集が完了した三次検体は，ファイルの探索とファイルの窃取を実施しました．攻撃者はファイル探索後に文書ファイル38個（xlsx, docx, pdf）を特定のフォルダへコピーし，WinRARでパスワード付きZipにして外部に持ち出しました．攻撃者が持ち出した文書ファイルはサンドボックス環境に保存されていたファイル*の一部に留まっており，その選定基準は不明です．しかし，攻撃者が持ち出したファイルは重要とは思えないファイル名であり，攻撃者は日本語を理解していなかったか，または適当に選んで持ち出した可能性があると考えています．
*リアルな環境に見せかけるために配置した欺瞞ファイル

三次検体（RAT）による特定のアプリケーション探索
窃取したファイルの持ち出しを実行した後，三次検体（RAT）はサンドボックス環境にインストールされていないアプリケーション「RobloxStudioBrowser」のレジストリを参照していました．Roblox Studioは，Roblox[14]用のオリジナルゲームを作成できるツールであり，攻撃者はRoblox関連の情報窃取を狙ったか，またはRoblox関連アプリケーションの脆弱性を狙っていたと推測しています．

Robloxを狙ったサイバー攻撃は過去にも発生しており，Roblox内に保存されたユーザの個人情報やRobloxプラットフォーム内通貨Robuxが窃取される事例が報告されています[15]．

3. まとめ

我々のSTARDUSTを用いた取り組みの一環で行ったQuasarRATの観測について，その結果を共有しました．今回は3つの検体の観測を通じて，日本語偽サポート画面の表示，脅迫文の表示（不幸の手紙型），ファイル窃取という異なる攻撃手法を観測することができました．これらの事例から，QuasarRATは複数の攻撃者によって異なる目的で利用されていることが明らかになりました．特に1件目のケースでは「感染拡大を担う攻撃者」と「目的達成を担う攻撃者」が分業していることが推測されます．また，日本語の偽サポート画面を表示するなど，地域特化型の攻撃手法も確認されており，日本国内の利用者は特に注意が必要です．さらに，不幸の手紙型のように被害者にマルウェアの拡散を強要するという事例もあるため，感染時には冷静になり攻撃者の指示に従わないよう注意が必要です．
QuasarRATはオープンソースRATであり，攻撃者による改変や悪用が容易なため挙動は多様化しています．しかし，以下の一般的なマルウェア対策を徹底することで，感染リスクを大幅に低減することが可能です．ぜひ実施いただければと思います．

QuasarRATを始めとし，多くのマルウェアの代表的な感染経路としてフィッシングメールが挙げられます．メールのフィルタリング機能の利用やアンチウイルスソフトの導入などにより，フィッシングメールからのQuasarRATの侵入を防ぎます．
ユーザアカウントには，業務に必要な最低限の権限のみを付与します．また，付与されている権限を定期的に見直し，不要な権限を削除します．ログイン時にはパスワードだけでなく，ワンタイムパスワードや生体認証などを組み合わせることで，アカウントの乗っ取りを防ぎます．
OSやアプリケーションを常に最新の状態にアップデートし，既知の脆弱性を修正します．また，定期的に脆弱性スキャンを実施し，システムに存在する脆弱性を把握することで，問題が発生したときに迅速な対応が可能となります．

我々は，今後もSTARDUSTを用いて観測した攻撃について発信を行っていく予定です．