{
	"id": "ba863ec6-01d9-46e5-9a4f-a71346e9d666",
	"created_at": "2026-04-06T00:10:18.533819Z",
	"updated_at": "2026-04-10T13:12:15.529238Z",
	"deleted_at": null,
	"sha1_hash": "6a2d22683d33206d20790d5e510bc7c5669b69be",
	"title": "商用RATのエコシステム: Unit 42、高機能商用RAT Blackremote RATの作者を公開後数日で特定",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 352606,
	"plain_text": "商用RATのエコシステム: Unit 42、高機能商用RAT Blackremote\r\nRATの作者を公開後数日で特定\r\nBy Unit 42\r\nPublished: 2019-10-16 · Archived: 2026-04-05 13:20:56 UTC\r\n概要\r\n2019年9月、Unit 42のリサーチャーによる商用リモートアクセスツール（RAT）類の調査中、これまで\r\nのところ文書化された情報がない新しいRATが発見されました。本稿ではこの新しいRATマネージャ\r\nー/ビルダー、クライアント マルウェアについて報告し、背後にいるスウェーデン人開発者と同氏のマ\r\nルウェア販売プロモーション方法について説明します。また、既にインターネット上で観測されてい\r\nる同RATを利用した攻撃に関する情報もまとめます。\r\nRATの販売プロモーション\r\n2019年9月の第一週、Speccy、Rafikiというハンドル名を使用するアクターが複数の地下フォーラム（図\r\n1）で新しいRATを宣伝しはじめました。宣伝用の短い投稿で彼は販売サイトblackremote[.]proへのリン\r\nクを共有しており、このとき利用されたDiscordのハンドル名はSpeccy＃0100でした。\r\n図1 フォーラムで宣伝されたRAT\r\n図1 フォーラムで宣伝されたRAT\r\n同じ週、同氏はYouTubeにビデオを投稿（図2）、同ビデオでRATのセットアップ手順を解説しまし\r\nた。\r\n図2 YouTubeの手順解説ビデオ\r\n図2 YouTubeの手順解説ビデオ\r\nYouTubeの説明（図3）には、個人サイトspeccy[.]devへのリンクが含まれていました。またこのビデオ\r\nで同氏は「このRATは実行時に検出されることがない」と謳い、「FUD Cryptorの購入」リンクを含め\r\nていました。ソフトウェアが「検出不能」であることや「暗号化」されていることにはなんら正当な\r\n必然性がありません。むしろこうした努力は、マルウェア対策ソフトウェアによる検出防止に向けた\r\nものと考えられます。\r\n図3 YouTubeの説明\r\n図3 YouTubeの説明\r\nblackremote[.]pro\r\nBlackremote RATの販売サイト blackremote[.]pro（図4）は、2019年8月19日に登録されたものでした。\r\n図4 blackremote[.]pro\r\nhttps://unit42.paloaltonetworks.jp/blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat/\r\nPage 1 of 8\n\n図4 blackremote[.]pro\r\nSpeccy\r\nは、自身のRATについて以下のように説明しています。\r\n「Black Remote Controller PROはパワフルで多機能なリモートシステム管理スイートです。多彩な機能\r\nを誇る本ツールを使うことで、リモートマシンへのフルアクセス、完全制御が可能になります。まる\r\nで目の前にマシンがあるかのように、すべての活動・データをリモートから監視、アクセス、操作で\r\nきるようになります」\r\nまた、同じ地下フォーラムで宣伝されているあまたの攻撃用RATの例に洩れず、Speccyもこのツールの\r\n目的が正当なものであることを主張しています。\r\n「本ツールは、専任の管理者、ペアレンタルコントロール、法医学、監視、リモートアシスタンスな\r\nど、さまざまな理由で特定のシステムにリモートからアクセス・監視・操作する必要がある皆さんに\r\nとって理想のツールです。Black Remote Controller PRO は、すべてをリモートで行うためのすばらしい\r\nソリューションです。」\r\nただし、前述の「検出不能」という主張や「暗号化」への言及は、後述する「パスワード回復」機能\r\nや「お楽しみ」機能（図5参照）に記載された謳い文句とあいまって、同ツールが到底合法的目的のた\r\nめに設計されたものではないことを示唆しています。\r\n図5 「お楽しみ」機能の説明\r\n図5 「お楽しみ」機能の説明。(「仕事中やマシンに囲まれた環境でちょっと退屈すること\r\nってありますよね? そんなとき、Black Remote Controllerは愉快なジョークのタネを提供し\r\nてくれるかもしれません。そうでしょ?」という説明）\r\nSpeccyのRATライセンスは、他の商用RATと比べて比較的高額で、31日ライセンスが49ドル、93日ライ\r\nセンスが117ドル、1年ライセンスが438ドルとなっています（図6）。\r\n図6 購入オプション\r\n図6 購入オプション\r\n購入はサードパーティの支払いサービスvsell[.]io でさまざまな暗号通貨を通じて行われます（図7）。\r\n図7 vSell\r\n図7 vSell\r\nRATの機能\r\n同人のサイトにはRATの機能が詳細にまとめられていまます。\r\nリモートデスクトップ\r\n驚くほど低遅延でリモートデスクトップのライブ視聴、スクリーンショット撮影、.aviファイルへのビ\r\nデオ録画開始が可能。マウスなどのデバイスも制御できます。マルチ画面対応\r\nhttps://unit42.paloaltonetworks.jp/blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat/\r\nPage 2 of 8\n\nリモートファイルマネージャー\r\nリモートマシンのすべてのドライブ、ファイル、フォルダをリアルタイムで自由に操作可能。あらゆ\r\nる種類のファイル操作を実現\r\nリモートウェブカメラ\r\n私物・私有地の監視、ペアレンタルコントロールなど多くのニーズに対応可能。スクリーンショット\r\nの撮影や.aviファイルへのビデオ録画開始ができる\r\nファイル転送\r\nリモートマシンとの間でデータをアップロードまたはダウンロード。同時に複数ファイルの転送をサ\r\nポート。非常に高速かつサイズ制限なし\r\nキーストロークキャプチャ\r\nキーストロークをライブまたはオフラインモードでキャプチャし後でログを取得。すべてのキーボー\r\nドをサポート。キーワード検索機能あり\r\nサービスマネージャー\r\n停止中・実行中の全サービスを一覧表示してワンクリックで起動・停止可能\r\nプロセスマネージャー\r\nリモートマシンで実行中のすべてのプロセスの監視、停止、サスペンド、再開。また検出された場合\r\nに特定プロセスにアラームを設定することが可能\r\nリモートオーディオ\r\n監視に最適。リモートマシンのマイクデバイスからの音を聞いたり、リモートユーザーの声を聞くこ\r\nとができる\r\nレジストリエディタ\r\nリモートマシンの全Windowsレジストリをナビゲートし、その中のキーや値を取得・変更・新規作成\r\nチャットシステム\r\nリモートマシンユーザーとのチャットセッションを開始、アシスタンスなど必要に応じた利用が可能\r\nシステムのシャットダウン、再起動、ログオフ\r\n必要に応じ、リモートマシンをリモートでログオフ、再起動、またはシャットダウン\r\nシステムメッセージ\r\n自由にカスタマイズ可能なシステムメッセージ、アラート、情報を作成し、リモートマシンにポップ\r\nアップ表示\r\nダウンローダー\r\n自由に保存パスや実行などをカスタマイズし、指定URLからファイルをダウンロードして実行\r\nパスワード回復\r\nリモートマシン、ブラウザ、メールクライアントに保存されているすべてのパスワードを取得。この\r\nほかのサポート対象アプリケーションあり\r\nhttps://unit42.paloaltonetworks.jp/blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat/\r\nPage 3 of 8\n\nTCP接続モニター\r\nリモートマシンが内外に張っているすべてのアクティブなTCP接続を監視。ポートやプロセス単位、ま\r\nたは直接指定してのブロックが可能\r\nwebサイトのオープン\r\nサポートなどの必要性に応じ、任意のWebサイトページを起動可能\r\nクリップボードマネージャー\r\nリモートマシンのクリップボードコンテンツに対するアクセス、読み取り、書き込み、または編集を\r\n提供\r\nスクリプトツール\r\nスクリプトをリモートで作成・実行。VBS、HTML、バッチ、PowerShellをサポート\r\nスタートアップマネージャ\r\nリモートマシンの全システムスタートアップ項目を管理。複数のスタートアップ方法で項目の追加・\r\n削除・変更が行える\r\nリモートシェル\r\nリモートマシンのシェルにアクセスが可能。高度なタスクの達成にはほぼ不可欠な機能\r\nWindowsマネージャー\r\nリモートマシン上で開いているウィンドウ、表示または非表示のウィンドウを管理可能ウィンドウの\r\nクローズ、最大化、最小化、非表示、表示、ブロックなど、どんなやりとりでもサポート\r\nインストール済みソフトウェア\r\nどのようなソフトウェアがシステムにインストールされているかを確認でき、リモート環境がどのよ\r\nうに設定されているかを確認するさい役立つ\r\nHostsファイル\r\nWindowsシステムでとても重要な役割を果たすHostsファイルを使い、リダイレクト、ブロック、変換、\r\nIP /ホストアドレスの関連付けが可能。たとえばHostsファイルのカスタマイズは一部Webサイトへのア\r\nクセス遮断などに不可欠\r\nクライアントマネージャー\r\nインストール済みのクライアントファイルを変更・更新・再起動・強制終了など、多くのオプション\r\nあり。クライアントエディタでファイルをカスタマイズ可能」\r\nマネージャー/ビルダー\r\n購入者には、Blackremoteマネージャー/ビルダーソフトウェアのSendspaceダウンロードリンクと6MBの\r\nRARファイル用のパスワードが提供されます。マネージャー/ビルダーを展開すると、9MBのメイン実\r\n行可能ファイルBLACK-RC.EXE、リソースライブラリ一式、.wavファイル一式を含むリソースディレ\r\nクトリがインストールされます。\r\n図8 マネージャー/ビルダーの登録/ログイン\r\nhttps://unit42.paloaltonetworks.jp/blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat/\r\nPage 4 of 8\n\n図8 マネージャー/ビルダーの登録/ログイン\r\nマネージャー/ビルダーをロードすると、ユーザーに登録/ログイン画面が表示されます（図8）。\r\nBlackremoteはサードパーティの\"CodeVEST\"ライセンスシステムを利用しており、このライセンスも地\r\n下フォーラムで販売されています。ライセンスシステムは、codevest[.]shに接続し、ライセンス有効性\r\nの検証を行います。\"CodeVEST\"は、2017年に停止した\"Netseal\"に取って代わった商用マルウェア用登\r\n録サービスのようですが、\"Netseal\"の作者Taylor Huddlestonは、自身の商用マルウェア\"Nanocore\r\nRAT\"の販売と\"NetSeal\"の運用により、2017年に有罪判決を受けました。このHuddlestonという人物は、\r\nほかにも\"Codevest\"というライセンスサービスを提供したり、\"Cyber Seal\"という暗号化サービスを提供\r\nして利益を得ていました。ここから、商用マルウェアのエコシステム界隈でサービスプロバイダが果\r\nたす役割が浮かびあがってきます。つまり、商用マルウェアのエコシステムでは、マルウェア販売者\r\nだけでなく、マルウェア販売に付随するライセンスサービスやマルウェア販売者が検出回避目的で購\r\n入する暗号化サービスなども、商用マルウェアエコシステムで一翼を担っているということです。\r\n図9 CodeVEST\r\n図9 CodeVEST\r\nBlackremoteマネージャー/ビルダー（図10）を使用すると、ユーザーは自身が構成したとおりに新しい\r\nクライアントマルウェアを構築し、感染クライアントからの接続を制御することができます。\r\n図10 Blackremoteマネージャー/ビルダー\r\n図10 Blackremoteマネージャー/ビルダー\r\nユーザーはマネージャー/ビルダーを使用してクライアント接続（図11）、接続ログ（図12）、接続ク\r\nライアント一覧表示（図13）など接続時のアクションを定義することができます。\r\n図 11 接続時のオプション\r\n図 11 接続時のオプション\r\n図12 接続ログ\r\n図12 接続ログ\r\n図 13 アクティブな接続\r\n図 13 アクティブな接続\r\nSpeccyが宣伝しているクライアント制御機能は、接続クライアント用のコンテキストメニューに表示さ\r\nれます（図14）。\r\n図14 クライアント制御\r\n図14 クライアント制御\r\nSpeccyは同ソフトウェアの開発を活発に続けています。changelogsを見ると、新規にクライアントの権\r\n限昇格機能が追加されるなど、定期的に少しずつ機能が拡張されている様子がうかがえます（図\r\n15）。\r\n図15 Changelogs\r\n図15 Changelogs\r\nhttps://unit42.paloaltonetworks.jp/blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat/\r\nPage 5 of 8\n\nクライアント\r\n私たちは、同じような時期、同一のファイルサイズをもつ複数の異なるサンプルが観測されたことに\r\n気づきました。このことから、「C2情報やRATオプションの種類などの動的コンテンツとは無関係\r\nに、クライアント作成時の難読化プロセスにより、ある特定のバージョン単位で、Blackremoteのクラ\r\nイアントはすべてファイルサイズが同一になるのではないか」と私たちは考えています。ビルダーも\r\nクライアントも、複数の難読化ツール（Agile.NET、Babel.NET、Crypto Obfuscator、Dotfuscator、\r\nGoliath.NET、SmartAssembly、Spices.Net、Xenocode）を使用して厳重に保護されています。\r\n利用の実態\r\nBlackremoteはごく最近のマルウェアですが、本稿執筆時点ですでに実際の攻撃に使用されていること\r\nが確認できています。Speccyが自身のBlackremote RAT販売を開始して1ヶ月で、2200件以上の攻撃セッ\r\nションが弊社顧客ベースに対して行われ、50個ちかくのサンプルが観測されています。\r\nBlackremoteの顧客\r\n興味深いのは、これらの攻撃の大部分がある1つの攻撃キャンペーンに帰する点です。doc00190910.exe\r\nというファイル（SHA256： 2b3cda455f68a9bbbeb1c2881b30f1ee962f1c136af97bdf47d8c9618b980572）が\r\nメールで拡散されており、そのピークは2019年9月9日から11日にかけてでした。同メールは世界中の\r\nさまざまな業種（図16）のパロアルトネットワークス顧客をターゲットにしていました。コマンド\u0026コ\r\nントロールサーバー（C2）にはrenaj.duckdns[.]org (103.200.6[.]79) が使われています。同C2は1800件を\r\n超える攻撃セッションで使用されていました。\r\n図16 攻撃キャンペーンの対象業種\r\n図16 攻撃キャンペーンの対象業種\r\n同じC2は、2018年初頭まで遡って50件以上にわたるNetwire、Nanocore、Quasar、Remcos商用RATサン\r\nプルによって使用されていたことが確認されています。このことからは、悪意のあるサイバー攻撃用\r\nの手段を提供しつつ、Blackremoteを含む商用RAT作成者たちがどのようにして利益を得ているのかが\r\nわかります。\r\n結論\r\n商用RATの多くは、インターネット上で長年にわたって販売されます。こうした商用RATの作者たち\r\nは、悪意のある攻撃者たちにRATビルダーで作成した何千ものマルウェアサンプルを拡散する手段を提\r\n供することにより、利益を上げています。出現したばかりのRATを数日以内に文書化し、その背後にい\r\nる人物（この場合はスウェーデン出身の18歳）を特定する機会があれば、しかるべき法執行機関が、\r\n同人物とその顧客に対し、タイムリーに行動を起こすことができるでしょう。Unit 42は、Blackremote\r\nの開発者個人を特定しています。ここで同人の身元に関する情報を共有することは避けますが、しか\r\nるべき規制当局には情報提供を手配済みです。\r\n商用RATが長期間販売されれば、同RATを使ったサンプルがそれだけたくさん作成されるだけでなく、\r\nほかの攻撃者が同RATを解読して無差別に配布する機会もまた増えてしまいます。できるだけ早い段階\r\nhttps://unit42.paloaltonetworks.jp/blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat/\r\nPage 6 of 8\n\nでこうしたマルウェアの販売を特定・阻止することで、マルウェアの拡散を防ぐことが重要で、それ\r\nは技術力の低い別のアクターたちの攻撃の芽を摘むことにつながります。\r\n優れたスパムフィルタリング、適切なシステム管理、最新のWindowsホストを導入している組織につい\r\nては、同脅威への感染リスクはかなり低いでしょう。\r\nパロアルトネットワークス製品をご利用中のお客様は同脅威から保護されています。\r\n弊社のThreat Preventionプラットフォームでは、WildFireとTrapsでBlackremoteマルウェア ファミ\r\nリを検出します。\r\nAutoFocusをお使いのお客様は次のタグを使用してこれらの活動を追跡できます: Blackremote\r\nパロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果\r\nをCyber Threat Alliance(CTA サイバー脅威アライアンス)のメンバーと共有しました。CTA のメンバーは\r\nこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系\r\n的に阻害することができます。Cyber Threat Allianceの詳細については、www.cyberthreatalliance.org の\r\nWebサイトをご覧ください。\r\nハッシュ値\r\n514b3d98c1a8cbd5ea08ff31e22700adb9ca0d93d9bc4d6a5232324f0f3e806d\r\n39721fb2d55777eeb6bdfdc9068782894993d172bb92cbad6a525c130312ef11\r\nc3075bced2e864ee7e693c19ecf1ed82cde0aae3d440e9ff2f37d3d6e20fdf0f\r\n3eda427ad5816e6dcf077562a367f71e8bdf5aa931e594416ae445357c12b409\r\n3265bb60b532005bc3535bdf7336bff1845aa5ed3306fd5dbb2ec884cb3d6323\r\n744438c125ceb7a3a7e44cca9fd6b397e982d048f680f164abd46743fd64cd12\r\n33a34ae9a757f6be754571e752a3ee9200153db16c34cf2fd5590ad616fbb04e\r\nfb8b9fe377ccdef76645a081905137e3580eed1defdabbbf48a3d20f0dc760b4\r\n0278145549af5cad9318d51e4c150afe2180b55f72194562885d5c8f9526f465\r\nea5384db27a27b826c100bbc2535561ea61bf4f44eb4eb93243740188799d675\r\n123539b0eaff1a23606d3716cdc0c73618af6f0cd821ae33863d0f47b2267dbf\r\nf7b165903f6f9b979e84399ce4e1b85ed2927740771d85a7b8c85203641a08a1\r\n93bfbd4b12a17732c8b7e66c554f98187184c6d845bd02e0dbb2104ce8da0453\r\n469d8b2cced859f57b535363307c1e29c0bf0342d14ce0da109a40493a441b62\r\nada653c948875a9c1ca588251b317d8e971fdf980252d92e36d59f14f5eb9ab9\r\nc207cf50305f126451e2dc5493d83614fdf801541d011e5002ee5daea2b4433b\r\n57a15cc236e4d2ba6e08b062a75671b8a674e0d8498d87e48652c778ea263d49\r\n3875545099276f2b34c3752b177b6d90a2eeb47148ddfb559a4d076d0f40716a\r\ne1bf5d2ef3a4f922f9a15ab76de509213f086f5557c9e648126a06d397117d80\r\ned7693d9b1b069d39451002bc1df06bf4e123926fa34abb6afeb9a18d6d90dcd\r\n901e06cd91adb7255d75781ef98fac71d17f7bed074a52147bdbd42ea551b34f\r\n9c93b768b5261194ad207c0e92e9767e70ba38203f24f2909e1b39a9a1d6570c\r\n129491bfdd9a80d5c6ee1ce20e54c9fb6deb2c1e1713e4545b24aa635f57a8b9\r\n931839ee649da42b0ee3ac5f5dfa944b506336c7f4e5beb3fc07a6b35a7e6383\r\nhttps://unit42.paloaltonetworks.jp/blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat/\r\nPage 7 of 8\n\n0908f8fbe1e3a77d941ae83fe3677d103d86d6e59a6ae4530eadba8af7fc1b3a\r\n69aaaf148a132385512f66d7668b045d6467f8639a3ef7460e20ce0627bc84fc\r\nf6ae66a8a6357d7622463db9953ae164d496e7f5ee0dfe2c8e3550a231f25078\r\nc5a78bf01ab2e44c7dba3a363f2eda51cf648e904f2beb47d6cf3112368ff20c\r\nf83e25cf2b2c2f2d0a14e3f538c11f70135ee8ec158446a51bb0f2d999765267\r\ncb423b73ae3e51195abbcf8bc1f2655d61436825815089b92e843b570ac7c86d\r\nee20db296c7c4cf3ca6db0c739f1579f554a447b6c1e2b343b22d341f288662f\r\na4bc7d42dd64df3502b7f8c2335c64eba7a484479fc8c2dc8a4aa448f10354b3\r\n756efcbd2767c5499b6f09a089033c82050459fc2999d3ce79caa25746693e26\r\n117cf46ae69134dbe0c8a1d5f4cac92b46c15ea4945929df3880c0ac63e158f3\r\ne5366365852a953a1747ab8a5d721c2536c5671c07bfecf648fb2cf6a13f2dc0\r\n0c63983cb38d187c187f373852d7b87ff4e41ea0d77d75907aa3388ad957f38f\r\ne54531896dbd100fec41cfc89b06f2afa1efd4077d1f197b1b88f74371135436\r\nc38006115bd7c22151c4e31d8d4ed6ec114c2aaf1c7c0da12ef7b44f96fc58d6\r\n0f66acc9883b284580980020d4a48557b2fe38312ca80db97c77cc2fa78c51fb\r\n77fe670ed011e547db72207ba5849b9f618185b52e0ae766c23ef675b116b252\r\n2b3cda455f68a9bbbeb1c2881b30f1ee962f1c136af97bdf47d8c9618b980572\r\n105cab9c9604238c05be167c6d8d47cd2bc0427b07ede08c5571b581ebd80001\r\ncc795b94cac222afc69749359d8b17d9fb7a7fb6e824d43008c1674c0d146929\r\n1737cf3aec9f56bb79a0c4e3010f53536c36a1fbeeedea81b6d7b66074ecffbe\r\nSource: https://unit42.paloaltonetworks.jp/blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat/\r\nhttps://unit42.paloaltonetworks.jp/blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat/\r\nPage 8 of 8",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://unit42.paloaltonetworks.jp/blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat/"
	],
	"report_names": [
		"blackremote-money-money-money-a-swedish-actor-peddles-an-expensive-new-rat"
	],
	"threat_actors": [],
	"ts_created_at": 1775434218,
	"ts_updated_at": 1775826735,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/6a2d22683d33206d20790d5e510bc7c5669b69be.pdf",
		"text": "https://archive.orkl.eu/6a2d22683d33206d20790d5e510bc7c5669b69be.txt",
		"img": "https://archive.orkl.eu/6a2d22683d33206d20790d5e510bc7c5669b69be.jpg"
	}
}