サイバーニュース.jp

世界のサイバーなニュースを配信

ハッカーが軍事文書に偽装したSSH-Torバックドアを隠蔽

カテゴリ:

, , , , , , , , ,

概要

2025年10月、Cyble Research and Intelligence Labs (CRIL) のサイバーセキュリティ研究者たちは、軍事文書を装った悪意のあるZIPアーカイブを配布する高度なマルウェアキャンペーンを発見しました。この攻撃は特にベラルーシ軍関係者を標的とし、無人航空機(UAV)およびドローン運用を専門とする特殊作戦司令部の人員に関する情報収集を目的としていたとされています。

この多段階攻撃は、二重ファイル拡張子、サンドボックス対策検証チェック、難読化されたPowerShell実行などの高度な回避技術を駆使し、標的システムへの永続的なバックドアアクセスを確立する、サイバースパイ技術の著しい進化を示しています。

攻撃の標的と手口

攻撃は「ТЛГ на убытие на переподготовку.pdf」(再訓練のための出発に関するTLG.pdf)というタイトルの文書を誘い水として、ベラルーシ軍関係者を狙いました。マルウェアは、OpenSSH for Windowsと、obfs4トラフィック難読化機能を備えたカスタマイズされたTor隠しサービスを組み合わせた複雑なインフラを展開します。これにより、攻撃者はSSH、RDP、SFTP、SMBプロトコルを介して匿名でのリモートアクセスを獲得します。

高度な回避技術とマルウェアの機能

この攻撃では、自動検出システムを回避するために、ネストされたZIPアーカイブ、LNKファイルの偽装、およびサンドボックス対策チェックが用いられています。マルウェアはペイロードを実行する前に、少なくとも10個の最近のLNKファイルと50個以上の実行中のプロセスをチェックすることでシステム特性を検証します。これはサンドボックス環境では通常存在しない条件ですが、実際のユーザーマシンでは存在します。

obfs4プラグ可能トランスポートの実装は、Torトラフィックを通常のネットワークアクティビティとして偽装し、標準的なTorプロトコルと比較して検出を著しく困難にする主要な技術的進歩です。攻撃者は、隠されたTorサービスを通じて、SSH、RDP、SFTP、SMBを含む複数のプロトコルにアクセスし、匿名性を維持しながらシステムを完全に制御します。すべての通信は、事前にインストールされた暗号化RSAキーを使用して匿名オニオンアドレスを介して行われ、セキュリティアラートを引き起こす可能性のあるオンザフライでのキー生成の必要性を排除しています。

感染経路と永続化メカニズム

感染経路は、被害者が悪意のあるZIPアーカイブを解凍し、PDF文書に偽装されたLNKファイルと追加のペイロードを含む隠しディレクトリに遭遇することから始まります。正規の軍事文書に見えるものを開くと、LNKファイルがPowerShellコマンドをトリガーし、ファイルをシステムのAppDataディレクトリに抽出し、セカンドステージスクリプトを実行します。

このスクリプトは、2025年10月16日付のミンスク州の軍事部隊B/4 89417からの本物に見えるロシア語の軍事命令を示すデコイPDFを表示します。被害者がデコイ文書を閲覧している間に、マルウェアは2つのスケジュールされたタスクを通じて永続性を確立します。

  • 最初のタスクは、正規のソフトウェアに偽装されたMicrosoft署名付きバイナリを使用してOpenSSHサービスを展開し、厳格なRSAキーベースの認証でポート20321をリッスンします。
  • 2番目のタスクは、SSH(ポート20322)、SMBファイル共有(ポート11435)、リモートデスクトッププロトコル(ポート13893)を含む複数のWindowsサービスに対してポート転送を行うTor隠しサービスを確立します。

隠しサービス確立後、マルウェアは侵害されたシステムを識別する一意のオニオンURLを構築し、積極的な再試行ロジックを持つcurlを使用してコマンド&コントロールインフラに流出させます。

帰属と背景

この攻撃で採用された戦術、技術、手順は、ロシア関連の高度な持続的脅威グループであるSandworm(APT44およびUAC-0125としても知られる)と密接に一致しています。しかし、研究者たちは、確立された標的パターンがないため、現段階では高信頼度の帰属は確認できないと強調しています。

より広範な文脈では、ウクライナのCERT-UAおよびSSSCIPからの情報報告と一致しており、2025年上半期に3,000件以上のサイバーインシデントが記録され、その多くがAI生成のフィッシングコンテンツと高度化されたマルウェアを利用していました。この攻撃は、2024年12月のArmy+キャンペーンからの進化を示しており、SandwormのUnit 74455に関連する実証済みの技術の継続的な改善を実証しています。

防御策

防御チームは、エンドポイントの挙動分析、プロセス実行チェーンの監視、スケジュールされたタスクの監査に注力すべきです。obfs4で難読化されたTor通信は、ネットワークベースの検出を著しく困難にするため、これらの対策が重要となります。軍事部隊や防衛部門の組織は、現実的な軍事文書を利用したソーシャルエンジニアリング攻撃に対して特に脆弱であり、セキュリティ意識向上トレーニングの強化エンドポイント検出機能の向上の必要性が強調されています。

元記事: https://gbhackers.com/ssh-tor-backdoor/

投稿をさらに読み込む