サイバーニュース.jp

世界のサイバーなニュースを配信

「Vortex Werewolf」がTorを活用したRDP、SMB、SFTP、SSHバックドアで政府・防衛機関を標的に

カテゴリ:

概要:ロシア政府機関を狙う高度なサイバー攻撃

「Vortex Werewolf」(別名:SkyCloak)と呼ばれる脅威グループが、ロシアの政府機関および防衛組織を標的とした洗練されたサイバー攻撃を展開していることが確認されました。この攻撃は、従来のマルウェア配布とは異なり、非常に巧妙なフィッシングスキームから始まります。

攻撃の手口:Telegramフィッシングからセッションハイジャックへ

攻撃者は、正規のTelegramファイル共有リソースを装ったURLを配布します。これらのURLは、信頼できるファイルリポジトリに見せかけたドメインでホストされており、被害者をTelegramのログイン画面やファイルダウンロード確認画面に偽装したウェブページに誘導します。

被害者がこのページで電話番号とTelegramアカウントに送信された確認コードを入力すると、攻撃者は被害者のアクティブなTelegramセッションを乗っ取ります。2FA(二段階認証)が有効なアカウントの場合、クラウドパスワードも要求されるため、攻撃者はチャットや連絡先に不正にアクセスできるようになります。

感染チェーン:ステルス性と永続性の確保

BI.ZONE Threat Intelligenceの報告によると、この攻撃はTelegramテーマのフィッシングから始まり、セキュアなネットワーク内への永続的なTor対応リモートアクセスチャネルの確立に至る多段階の感染チェーンを採用しています。

「検証」が完了すると、ウェブサイトは自動的にZIPアーカイブ(例:「Spisok na peremeshchenie.zip」)のダウンロードをトリガーします。このアーカイブはDropboxなどの公共クラウドサービスでホストされています。

  • LNKファイルによる実行: LNKファイルは、隠しディレクトリ内のツール群を抽出するPowerShellコマンドを実行します。
  • 環境偵察と自己終了機能: マルウェアは、セキュリティ研究者による検出を回避するため、即座に環境偵察を行います。システムの活動が低い仮想マシンやサンドボックスと判断された場合、マルウェアは自己終了します。
  • 永続性の確立: システムがチェックを通過すると、スクリプトはWindowsタスクスケジューラにスケジュールされたタスクを作成し、システムの再起動後もマルウェアが自動的に再開するように永続性を確保します。
  • 正規ソフトウェアの偽装: 攻撃者は、Tor実行可能ファイルを「photoshopexpress.exe」、OpenSSHサーバーを「finalcutpro.exe」、obfs4proxyを「visualstudiocode.exe」に改名するなど、正規のソフトウェアコンポーネントを偽装してシステムに溶け込みます。

技術的詳細:TorとSSHの活用

Vortex Werewolfの究極の目的は、被害者のネットワークへの長期的な隠れたアクセスを維持することです。

  • カスタマイズされたOpenSSHサーバー: Windows版のOpenSSHをインストールし、パスワードログインを無効にしてキーベース認証のみを受け入れるように構成します。これにより、不正な第三者アクセスを防ぎます。
  • Tor Hidden Serviceの起動: トラフィックをTorネットワーク経由でルーティングすることで、攻撃者は自身のIPアドレスや位置情報を明らかにすることなく、感染マシンに接続できます。
  • obfs4ブリッジによるトラフィック難読化: マルウェアはobfs4ブリッジを使用してTorトラフィックを難読化し、標準的なネットワークファイアウォールを迂回します。

この隠されたトンネルを通じて、Vortex WerewolfはRDP(リモートデスクトッププロトコル)、SMB(ファイル共有)、SFTP、およびSSHといった重要なネットワークプロトコルを攻撃者に直接公開します。これにより、攻撃者は侵害されたシステムを完全に制御し、ファイルの移動、コマンドの実行、組織内の他のマシンへの横展開が可能になります。

インフラストラクチャと検出

Vortex Werewolfは少なくとも2024年12月から活動しており、フィッシングアセットのホスティングにはGitHub Pagesを、トラフィック管理にはCloudflareを利用していることが調査により明らかになっています。この脅威グループは、同様の戦術を用いる「Core Werewolf」とは異なる存在として扱われています。

侵害指標(IoC)

  • ハッシュ値:
  • fc8a6cc400dd822b6f5fc40c85a547cf7f266169edddb84a90f4b3f25956318c
  • 86b1e4e48d1d4ce1acf291b21c2ffa806bca9b6cad6a6519263fa1705486eb94
  • 8f4836cca1850053e87a769a84baed3cdde060ad3fce26f101a20b37375835f1
  • 1cf423b7b55c2d7018262c847ba58e1955443e1d84ca0bca4f94f2a9cc5794d7
  • 1280cca4b520bfd018296c4d1645b7c9c8c7c4608752506285dad0e251b22e32
  • 7ccf33529389ff080c1aaea1678c9f7a3546ab950670138f8a7f35c7638578cb
  • 2a9b971c835e2ee5f190d068c602601fdaf718d8bfe085c2032d59a6f25ed082

元記事: https://gbhackers.com/vortex-werewolf/

投稿をさらに読み込む