エージェント・テスラ・マルウェア

Agent Teslaは、.Netベースのリモートアクセス型トロイの木馬（RAT）であり、マルウェア-As-A-Service（MaaS）によく使用される、初期アクセスを獲得するためのデータ窃盗犯です。この犯罪ビジネスモデルでは、イニシャル・アクセス・ブローカー（IAB）と呼ばれる脅威アクターが、企業ネットワークを悪用するための専門的なスキルを提携する犯罪グループに委託します。第一段階のマルウェアとして、Agent Teslaは侵害されたシステムへのリモートアクセスを提供し、ランサムウェアを含む、より洗練された第二段階のツールのダウンロードに使用されます。 

Agent Teslaは2014年に初めて登場し、2020年代にはCOVID-19 PPEをテーマにしたフィッシングキャンペーンに活用されて急増しました。Agent Teslaは、.zip、.gz、.cab、.msi、.imgファイルや、悪意のあるVisual Basic Application (VBA)マクロを含むMicrosoft Office文書を添付した電子メールを配信し、被害者のシステムを侵害します。Agent Teslaのフィッシング・キャンペーンは、ロゴやフォントを含め、正規企業のコミュニケーション・トーンやビジュアル・テンプレートを正確に複製することで悪名高いものです。

Agent Teslaのセカンドステージの機能は、他のマルウェアファミリほど高度ではありませんが、さまざまな機密情報を効果的に窃取することができます。また、攻撃プロセスを監視し、窃取した情報をダウンロードするための使いやすいインターフェイスを攻撃者に提供するため、IABにとって魅力的なマルウェアの選択肢となっています。

エージェント・テスラは、マルウェアスキャナやスパムフィルタによる検知を回避するために、いくつかの異なるファイル添付の脆弱性や回避テクニックを悪用します。このような回避テクニックの1つは、攻撃者のコマンド・アンド・コントロール（C2）サーバーのIPアドレスや、フィッシングメールの送信に使用するドメインを繰り返し変更し、検知を回避することです。エージェント・テスラのもう1つのステルス技術は、ペイロードのシグネチャを以前のバージョンと簡単に比較できないように、ソースコード内の文字列をランダム化することです。 

プライマリペイロードがダウンロードされ、ターゲットのシステム上で実行されると、Agent Teslaはローカルシステム環境を評価し、デバッグ、仮想化、サンドボックスツールが存在するかどうかを判断します。マルウェア解析ツールが存在しない場合は、プライマリペイロードの後続コンポーネントの復号化のみを続行します。次に、マルウェアはC2サーバーに接続し、新たな被害者が出たことを攻撃者に通知します。 

エージェント・テスラは、ブラウザ、FTPクライアント、ワイヤレス・プロファイルから認証情報などのデータを盗むことができるが、最も一般的な使用例は、ダーク・ウェブで販売できる初期アクセスを確保することである。

エージェント・テスラは、C2のIPアドレスをローテーションしたり、ソースコード内の文字列を変更したりすることができるため、マルウェアスキャナや電子メールスパムフィルタによる検出を効果的に回避することができます。しかし、マルウェア開発者がマルウェアの戦術、技術、手順（TTP）を変更することはより困難であるため、エンドポイント検出および応答（EDR）セキュリティ製品および拡張EDR（XDR）製品は、Agent Teslaの侵害指標（IOC）を特定し、そのペイロードの実行をブロックする上で効果的です。

エージェント・テスラの攻撃を防ぐ最も効果的な方法：

• 社外から送信された電子メールをユーザーに通知するよう、電子メールクライアントを設定する。
• フィッシング・テクニックについて担当者を教育し、疑わしい電子メールや文書の取り扱いに関する標準業務手順書（SOP）を作成する。
• 出所不明のファイルがもたらすリスクの増大を認識し、そのような文書を開く前に、その文脈を十分に確認する。
• Officeアプリケーションが以下のように設定されていることを確認します。 通知なしですべてのマクロを無効にする または デジタル署名されたマクロ以外を無効にする 設定
• 電子メールクライアントやOfficeアプリケーションで、マルウェアのスキャンが行われていないファイルやVBAマクロを含むファイルなど、不審なコンテキストを警告する警告通知に特に注意してください。
• 暗号化された文書を暗号化解除直後にスキャンし、ネットワークとそのエンドポイント上のIOCを識別する高度なエンドポイントセキュリティ製品をインストールし、設定する。