新しく出現したマルウェア「GhostSocks」が、検出を回避するための攻撃者の手法を変革しています。このマルウェアは、侵害されたシステムを居住地プロキシノードとして使用することで、サイバー犯罪者が通常のネットワークトラフィックに紛れ込むことを可能にします。
GhostSocksとは?
GhostSocksは、ロシアの地下フォーラムxss[.]で最初に登場し、マルウェアとしてサービスを提供する形で広まりました。このマルウェアは、攻撃者が被害者のデバイスをハイジャックし、インターネット帯域を使用して悪意のあるトラフィックをリレートします。
GhostSocksの機能
- Golangで書かれたこのマルウェアはSOCKS5プロキシ接続を確立し、中継型コマンド&コントロール(C2)アーキテクチャを使用します。
- GhostSocksはTLS暗号化を使用して通信を包み込み、悪意のあるトラフィックが正当な暗号化ネットワーク活動と混在するようにしています。
- 最新のバージョンではレジストリ実行キーを使用し、システム再起動後もアクセスを維持します。
攻撃チェーンの検出
ダークトレースは、GhostSocksとLumma Stealerとの連携により、教育機関で発生した攻撃を検出した。この攻撃では、最初に不審なエンドポイント(159.89.46[.]92, retreaw[.]click)からダウンロードされた「Renewable.exe」という異常な実行ファイルが確認されました。
ダークトレースの検出インサイト
ダークトレースは、GhostSocksの活動が2025年後半から増加していることを観察しています。このマルウェアは、攻撃者が被害者のデバイスを居住地プロキシノードとして使用することで、匿名性と持続性を得ると同時に、将来的な攻撃に必要なスケーラブルなインフラストラクチャを構築します。
組織への影響
このようなマルウェアの増加に対応するためには、組織は従来の指標だけでなく、AI駆動型の防御システムを使用して微妙な行動異常を検出することが必要です。