Symantec は 6月24日、4月以降に保険・教育・IT・専門サービス業を狙う新型バックドア「Mistic」(別名 MLTBackdoor) の活動を観測したと公表しました。Mistic はインシデント・アクセス・ブローカー (IAB) の KongTuke (404 TDS / Woodgnat / TAG-124 などとも呼ばれる) が展開し、Qilin・Interlock・Rhysida・Akira・8Base・Black Basta といったランサム グループへ侵入経路を販売する前段として用いられているとされます。
主なポイント
- ペイロードはディスクに書き込まれずメモリ上で実行され、運用上の自衛のためのキルスイッチで自己削除する fileless 仕様
- Microsoft Defender 関連ファイル「MpExtMs.exe」を介した DLL サイドローディングで正規プロセスに紛れ込み、EDR の検知を回避
- 同じ流れで投下される ModeloRAT (Python ベース RAT) は以前から KongTuke に帰属とされ、Mistic はそれを補完する第 2 段の足場
- 標的は無差別寄りで、侵入後に「どこに売れるか」で買い手を選定する IAB ビジネスモデルを踏襲
- Symantec はファイルスキャンに依存する従来手法では検知困難として、メモリ・スキャンと EDR の挙動検知を重視するよう推奨
出典: Stealthy Mistic backdoor linked to ransomware access broker KongTuke - BleepingComputer