ロシアのハッカーがRDPハイジャック用ツールキット「CTRL」を展開

ロシアのハッカーは、新しいリモートアクセスツールキットである「CTRL」を使用して、FRPベースの逆トンネルを通じて静かにRemote Desktop Protocol (RDP) セッションをハイジャックし、侵入したWindowsシステムに対する手動での操作を可能にする。

ツールキットの概要

CTRLは、資格情報盗難、キーロギング、およびRDPの乱用を組み合わせた一連のポストエクスプロイトフレームワークで、現在では一般的なマルウェアスキャナーや脅威フィードから見つけることができない。

このツールキットは、パートナー・ホスティングLTDのASN（AS215826）でホストされており、英国に登録されたネットワークで、2025年2月に設立されました。サーバーはドイツのフランクフルトに位置しています。

Censys ARC研究者は、公開ディレクトリのスキャン中にLNKファイルを追跡し、攻撃者によって使用されている「hui228.ru」ホスト上のオープンなペイロードホスティングフォルダに遡ることができました。

CTRLは、Windowsショートカットファイルとして配布され、その中にはマルウェアが埋め込まれています。LNKのメタデータタイムスタンプはゼロ化されており、「Polycue」という説明文を持っています。

組織は、194.33.61[.]36および109.107.168[.]18のIPアドレスへの接続をブロックまたは警告する必要があります。また、FRPSプロトコルのフィンガープリントやSSHホストキーの追跡も行うべきです。

HKLM\\(SOFTWARE\\)Microsoft\\(Windows\\)CurrentVersion\\(Explorer\\)（ShellStateVersion1、IconSizeVersion1、IconUnderlineVersion1）に保存されたバイナリデータ
DriverSvcTask、NetTcpSvc、TermSvcHost、およびWindowsHealthMonitorという名前のスケジュールタスク
パスワードが「ADAD」である隠しローカルアカウント
ctrlPipeネームパイプ
C:\\Temp\\keylog.txtファイル

元記事: https://gbhackers.com/ctrl-for-rdp-hijacking/