サイバーニュース.jp

世界のサイバーなニュースを配信

オープンディレクトリの露出によりWindows、Linux、macOS向けBYOBフレームワークが流出

カテゴリ:

概要:BYOBフレームワークのC2サーバーが露呈

Hunt.ioのAttackCaptureツールによって、Windows、Linux、macOSシステムを標的とする高度なポストエクスプロイトツールであるBYOB(Build Your Own Botnet)フレームワークの完全なデプロイメントをホストするコマンド&コントロール(C2)サーバーが露呈しました。この発見は、約10ヶ月間活動していた多プラットフォーム対応のリモートアクセス機能と統合された仮想通貨マイニング操作を持つキャンペーンを明らかにしています。

露呈したオープンディレクトリは、Hyonix社がロサンゼルスでホストするIPアドレス 38[.]255[.]43[.]60 ポート8081 で発見されました。分析により、このサーバーが複数のオペレーティングシステムを侵害するために設計された、ドロッパー、ステージャー、完全なリモートアクセストロイの木馬などの悪意のあるペイロードを積極的に配布していたことが判明しました。このインフラストラクチャは、米国、シンガポール、パナマにまたがる5つのC2ノードで構成されており、2024年3月以降の活動が記録されています。

BYOBフレームワークの調査とC2構成

インフラストラクチャの調査により、珍しい二重目的の操作が明らかになりました。5つのC2サーバーのうち2つは、BYOBフレームワークのコンポーネントとXMRig仮想通貨マイニングソフトウェアの両方をホストしていました。これは、脅威アクターがリモートアクセス機能とクリプトジャッキングによる受動的な収益生成を組み合わせていることを示唆しています。影響を受けた二重使用ノードは、シンガポールの 15[.]235[.]186[.]150 と米国AT&Tネットワーク上の 108[.]230[.]121[.]11 にありました。

主要なC2サーバーは、標準のHTTP/HTTPSポートでIIS 10.0、ポート8080でApache 2.4.41、ペイロード配布のためにポート8081でPython SimpleHTTPなど、複数のWebサーバーが同時に稼働する異例の構成を示していました。露呈したRDPポート(3389)は2023年12月からアクティブなままであり、侵害された正当なシステムではなく、専用の攻撃インフラストラクチャであることを示唆しています。

多段階感染チェーンと持続性メカニズム

BYOBフレームワークは、検出を回避し、永続的なリモートアクセスを確立するために、3段階の感染チェーンを採用しています。

  • ステージ1: 359バイトのコンパクトなPythonドロッパーで構成され、Base64エンコード、Zlib圧縮、Marshalシリアル化を含む複数の難読化レイヤーを使用します。
  • ステージ2: ドロッパーは、環境変数や実行中のプロセスでVirtualBox、VMware、Hyper-Vのインジケーターをスキャンしてアンチ仮想化チェックを実行する2KBのステージャーをフェッチします。
  • ステージ3: セキュリティチェックを通過した後、ステージャーは完全なリモートアクセストロイの木馬を含む最終的な123KBのペイロードを取得します。この分離により、完全な123KBのペイロードが分析環境に露出することを防ぎます。

このマルウェアは「Java-Update-Manager」という名前で正規のソフトウェアを装い、3つの対象プラットフォームすべてで7つの異なる持続性メカニズムを実装しています。

  • Windows: レジストリ実行キーとスタートアップフォルダのショートカットを利用。
  • Linux: crontabエントリを通じて侵害。
  • macOS: LaunchAgent plistファイルを通じて感染。

広範なポストエクスプロイトモジュール

露呈したフレームワークには、広範なポストエクスプロイトモジュールが含まれており、以下のような機能を提供します。

  • ウィンドウコンテキスト追跡付きのキーロギング
  • スクリーンショットキャプチャ
  • COMオートメーションによるOutlookメールの収集
  • ネットワークトラフィック傍受のための生パケットスニッフィング
  • プロセス操作機能

このマルウェアは、セキュリティソフトウェアを終了させ、Windowsのユーザーアカウント制御(UAC)プロンプトをバイパスし、暗号化されたHTTPベースのコマンド&コントロール通信を維持できます。キャプチャされたペイロードの分析により、フレームワークがapi[.]ipify[.]orgを通じた公開IPの発見、ipinfo[.]ioへの地理位置情報クエリ、ホスト名、ユーザー名、MACアドレス、特権レベル情報の収集など、包括的なシステム偵察を実行していることが確認されています。これらの機能により、脅威アクターは被害者をプロファイルし、さらなる悪用やデータ流出のための貴重な標的を特定することができます。

元記事: https://gbhackers.com/open-directory-exposure/

投稿をさらに読み込む