イントロダクション:CiscoVPNとADアカウントの悪用
攻撃者は、高度なサイバー攻撃を仕掛ける際に、運用時間を問わないことを再び証明しました。eSentireのTRUチームは、金融サービス顧客の環境内で、正当なCiscoVPNログインが複数のエンドポイントへの異常なWMIコールと一致した際に、不審な活動を最初に観測しました。調査の結果、「serviceaccount」というActive DirectoryアカウントがVPNアクセスと並行して悪用され、攻撃者に広範な実行権限が付与されていたことが判明しました。
2025年9月下旬、eSentireの脅威対応ユニット(TRU)は、侵害されたCiscoVPN認証情報と過剰な権限を持つActive Directoryアカウントを悪用して、ラテラルムーブメント、リモートコマンド実行、Discordを介したコマンド&コントロールによる永続性を維持する、新しいRustベースのバックドア「ChaosBot」を特定しました。ペイロードである「msedge_elf.dll」は、Microsoft Edgeの「identity_helper.exe」を介して「C:\Users\Public\Libraries」からサイドロードされ、ChaosBotが検出されずに展開されることを可能にしました。初期偵察コマンドはシステム情報を取得し、インバウンドトンネルを確立するために高速リバースプロキシ(frp)実行可能ファイルがダウンロードされました。
攻撃の解剖:ChaosBotの侵入経路
ChaosBotの攻撃チェーンは、認証情報の窃取から始まります。これは、CiscoVPNログインのブルートフォース攻撃、またはベトナム国家銀行の通信を装った悪意のあるWindowsショートカット(.lnk)ファイルを配信するフィッシングキャンペーンのいずれかによって行われます。ChaosBotはRustで記述されており、バリアントに応じてDiscord APIとの対話に「reqwest」または「serenity」ライブラリを使用します。
被害者がショートカットをトリガーすると、PowerShellコマンドがChaosBotをフェッチして実行し、同時にデコイのPDFが開いてユーザーを欺きます。マルウェアは、設定に埋め込まれたボットトークンを使用してDiscordに接続し、Discord APIへのGETリクエストを介してトークンを検証し、被害者のホスト名にちなんだ新しいチャネルを作成します。その後のGETリクエストは、そのチャネルをポーリングしてコマンドを取得し、ChaosBotはPowerShellプロセスを生成してローカルで実行します。標準化されたコマンドラインには、文字の整合性を保つためにUTF-8出力エンコーディングが含まれています。
脅威アクターの視点とChaosBotの機能
サポートされるコマンドは、以下の機能を提供します。
- 任意のシェルコマンドの実行
- ファイルのダウンロードとアップロード
- スクリーンショットのキャプチャ
- リバースプロキシの設定
例えば、「shell systeminfo」はシステム情報を収集してチャネルに返し、「scr」はデスクトップをキャプチャしてPNGファイルを投稿します。
回避と永続化の技術
回避技術には、Windowsテレメトリのイベントトレースを無効にするために「ntdll!EtwEventWrite」をパッチ適用することや、仮想マシンでの実行を避けるために既知のVMwareおよびVirtualBoxプレフィックスに対してMACアドレスをチェックすることが含まれます。攻撃者は、frpをダウンロードし、暗号化された圧縮トンネルをAWS香港サーバーにポイントするように「node.exe」を設定することで永続性を維持します。VS Code Tunnelサービスをインストールしようとする試みは、攻撃者が多面的なバックドアを実験していることを示しています。
推奨事項と対応策
侵害の確認後、eSentireのSOCアナリストは影響を受けたホストを隔離し、顧客と協力して脅威を根絶しました。重要な教訓は、過剰な権限を持つサービスアカウントの危険性と、盗まれたVPN認証情報がいかに迅速なネットワーク侵害を可能にするかということです。組織は以下の対策を講じるべきです。
- リモートアクセスアカウントに最小特権を適用する。
- すべてのVPNおよびドメインログインに多要素認証を義務付ける。
- 強力で予測不可能なパスワードポリシーを施行する。
この機能は、マルウェアオペレーターの偵察ツールとして機能し、感染したシステムがサンドボックスであるか、正当なターゲットであるかを迅速に評価できるようにします。サービスアカウントの命名規則は、「serviceaccount」のような一般的な用語を避け、自動化された攻撃を阻止する必要があります。認証情報の衛生管理に加えて、現在のセキュリティパッチを維持し、認証イベントの詳細なログを有効にし、異常なリモート実行アクティビティを積極的に監視することが重要です。最低限、次世代アンチウイルスまたはエンドポイント検出応答(EDR)ソリューションを展開することで、メモリパッチ適用や異常なPowerShell動作を検出できます。包括的な保護のためには、24時間365日のマネージド検出応答(MDR)プロバイダーと提携することで、eSentireのTRUのようなユニットから提供される継続的な脅威ハンティング、迅速な封じ込め、プロアクティブな脅威インテリジェンスが保証されます。これらの対策を採用することで、組織はChaosBotのような高度なバックドアの影響を最小限に抑え、攻撃者の一歩先を行くことができます。