サイバーニュース.jp

世界のサイバーなニュースを配信

「GhostSocks」MaaSが侵害されたデバイスを脅威アクターのプロキシに変える

カテゴリ:

, , , , , , , , ,

GhostSocks MaaSの登場

2023年10月15日、GhostSocksと名乗る脅威アクターが、ロシアのサイバー犯罪フォーラムxss[.]isで新たなMaaS(Malware-as-a-Service)の販売を開始しました。このサービスは、侵害されたWindowsマシンを居住型SOCKS5プロキシに変え、サイバー犯罪者が不正防止対策を回避し、感染したホストを収益化することを可能にします。

初期の販売と機能

最初の販売スレッドでは、GhostSocksの中核機能が強調されました。それは、エンドユーザーのデバイスを脅威アクターの制御下にあるプロキシノードに変換することです。その後の投稿では、GhostSocksの管理パネルが公開され、ビルド作成、プロキシ割り当て、リアルタイムのステータス監視機能が紹介されました。また、毎週の開発者変更ログ(機能強化の詳細)や、GhostSocksプロキシの信頼性と低遅延を称賛する顧客の声も掲載されました。

採用とエコシステムへの統合

GhostSocksへの初期の関心は、低レベルの詐欺グループから高度なランサムウェアグループまで、幅広いサイバー犯罪活動に及びました。2025年2月には、流出したBlackBastaのチャットログから、このグループが初期侵害後の長期的なネットワークアクセスを確保するために、Lumma StealerとGhostSocksを併用することを議論していたことが明らかになりました。2023年後半を通じてユーザーベースは限定的でしたが、2024年2月にLumma Stealerとの提携が発表されると、採用が急増しました。これにより、アフィリエイトユーザーはGhostSocksを自動的にインストールし、盗んだ認証情報をプロキシインフラストラクチャ経由で送信できるようになりました。2025年後半にLumma Stealerのインフラストラクチャが法執行機関によって妨害されたにもかかわらず、GhostSocksは活発な開発と販売を続けており、その回復力はMaaSエコシステムにおけるその地位を裏付けています。

技術的な詳細

GhostSocksは、Go言語で作成され、オープンソースのgarbleプロジェクトを使用して難読化された32ビットDLLまたはスタンドアロンの実行ファイルとして配布されます。文字列とAPIシンボルはビルド時に暗号化され、カスタムルーチンを介して実行時に復号されます。GhostSocksは永続化機能を持たず、SOCKS5プロキシのプロビジョニングのみに焦点を当てています。実行時、名前付きミューテックス(「start to run」)が複数のインスタンスの起動を防ぎます。起動中、GhostSocksはユーザーの%TEMP%ディレクトリにある動的設定を見つけようとします。見つからない場合は、バイナリに埋め込まれたハードコードされたフォールバック設定に戻ります。この設定の復号により、無効化されたC2(Command-and-Control)URLのリストが生成されます。マルウェアは、接続が成功するまでこれらのエンドポイントを繰り返し、ランダムなプロキシ認証情報を生成し、HTTP GETリクエストを介してC2に登録します。ビルドURLが成功すると、追加のx-api-keyヘッダーが追加されます。200 OK応答を受信すると、GhostSocksはgo-socks5およびyamuxライブラリを使用して双方向SOCKS5トンネルを生成します。

対策

GhostSocksのような脅威から身を守るためには、個人と組織の両方で対策を講じることが重要です。

  • 個人の予防策:
    • 信頼できない実行可能ファイルの実行を避ける。
    • Goベースの難読化ツールに対するヒューリスティックを備えたエンドポイント保護を維持する。
  • 組織の防御策:
    • 既知のGhostSocksリレーサーバーIPをブロックする。
    • 異常なプロキシ使用を検出するために、アウトバウンドSOCKS5トラフィックを監視する。
    • 厳格なネットワークセグメンテーションを強制し、居住型に見えるIPアドレスであっても、信頼のバイパスを防ぐためにリモートIPアドレスを精査する。

Synthientの研究リポジトリでは、観測可能な情報とYaraルールが公開されており、即座に展開可能です。

結論

GhostSocksは画期的な技術を導入しているわけではありませんが、多様な脅威アクターの間でのその人気は、二重の被害という新たな傾向を浮き彫りにしています。侵害されたシステムは意図せずプロキシとなり、追加のターゲットに対する攻撃を増幅させます。1日あたりデバイスあたりわずか0.50ドルという低料金で、GhostSocksや同様のプロキシマルウェアは、アンダーグラウンド市場で魅力的な商品であり続けるでしょう。この新たな脅威を抑制するためには、警戒を怠らないネットワーク監視プロキシプロトコルの積極的なブロックが不可欠です。

元記事: https://gbhackers.com/ghostsocks-malware-as-a-service/

投稿をさらに読み込む