サイバーニュース.jp

世界のサイバーなニュースを配信

ChaosBot、CiscoVPNとActive Directoryパスワードを悪用しネットワークコマンドを実行

カテゴリ:

, , , , , , , , ,

概要:CiscoVPNとActive Directoryの悪用

攻撃者は、洗練されたサイバー攻撃において、業務時間帯が関係ないことを再び示しました。eSentireのTRUチームは、金融サービス顧客の環境内で、正規のCiscoVPNログインと異常なWMIコールが複数のエンドポイントで同時に発生する不審な活動を最初に観測しました。調査の結果、「serviceaccount」というActive DirectoryアカウントがVPNアクセスと並行して悪用され、攻撃者に広範な実行権限を与えていたことが判明しました。

2025年9月下旬、eSentireの脅威対応ユニット(TRU)は、「ChaosBot」と名付けられた新しいRustベースのバックドアを特定しました。これは、侵害されたCiscoVPN認証情報と過剰な権限を持つActive Directoryアカウントを悪用し、ラテラルムーブメント、リモートコマンド実行、Discordを介したコマンド&コントロールによる永続化を可能にするものでした。

ChaosBotの技術的詳細

ChaosBotのペイロードである「msedge_elf.dll」は、C:\Users\Public\LibrariesからMicrosoft Edgeのidentity_helper.exeを介してサイドロードされ、検出されずに展開されました。初期の偵察コマンドはシステム情報を取得し、インバウンドトンネルを確立するために高速リバースプロキシ(frp)実行可能ファイルがダウンロードされました。同時に、攻撃者はVS Code Tunnelバックドアを試みましたが、インタラクティブな認証プロンプトをスクリプトがバイパスできなかったため、この試みは失敗に終わりました。

攻撃チェーンの解剖

ChaosBotの攻撃チェーンは、認証情報の窃取から始まります。これは、CiscoVPNログインのブルートフォース攻撃、またはベトナム国立銀行の通信を装った悪意のあるWindowsショートカット(.lnk)ファイルを配信するフィッシングキャンペーンのいずれかによって行われます。

ChaosBotはRustで記述されており、バリアントに応じてDiscord APIとの対話にreqwestまたはserenityライブラリを使用します。被害者がショートカットをトリガーすると、PowerShellコマンドがChaosBotをフェッチして実行し、同時にデコイのPDFが開いてユーザーを欺きます。マルウェアは、設定に埋め込まれたボットトークンを使用してDiscordに接続し、Discord APIへのGETリクエストを介してトークンを検証し、被害者のホスト名にちなんだ新しいチャンネルを作成します。その後のGETリクエストは、そのチャンネルをポーリングしてコマンドを受信し、ChaosBotはPowerShellプロセスを生成してローカルで実行します。標準化されたコマンドラインには、文字の整合性を保つためにUTF-8出力エンコーディングが含まれています。

サポートされるコマンドには、以下の機能が含まれます:

  • 任意のシェルコマンドの実行
  • ファイルのダウンロードとアップロード
  • スクリーンショットのキャプチャ
  • リバースプロキシの設定

例えば、「shell systeminfo」はシステム情報を収集してチャンネルに返し、「scr」はデスクトップをキャプチャしてPNGファイルを投稿します。

回避と永続化のメカニズム

回避技術としては、ntdll!EtwEventWriteをパッチ適用してWindowsイベントトレーシングテレメトリを無効にすることや、VMwareおよびVirtualBoxの既知のMACアドレスプレフィックスと照合して仮想マシンでの実行を回避することが挙げられます。攻撃者は、frpをダウンロードし、暗号化および圧縮されたトンネルをAWS香港サーバーに接続するようにnode.exeを設定することで永続性を維持します。VS Code Tunnelサービスのインストールを試みたことは、攻撃者が多面的なバックドアを実験していることを示しています。

C2インフラストラクチャの特定

12のサンプル分析により、C2インフラストラクチャの背後に「chaos_00019」と「lovebb0024」という2つのDiscordユーザーアカウントが確認されました。メタデータは、これらのアカウントが2024年半ばに作成されたことを示しています。

推奨事項と対応策

侵害が確認された際、eSentireのSOCアナリストは影響を受けたホストを隔離し、顧客と協力して脅威を根絶しました。主な教訓としては、過剰な権限を持つサービスアカウントの危険性と、盗まれたVPN認証情報がいかに迅速なネットワーク侵害を可能にするかという点です。

組織は以下の対策を講じるべきです:

  • リモートアクセスアカウントに最小特権の原則を適用する。
  • すべてのVPNおよびドメインログインに多要素認証(MFA)を義務付ける
  • 強力で予測不可能なパスワードポリシーを施行する。
  • サービスアカウントの命名規則において、「serviceaccount」のような一般的な用語を避ける。
  • 最新のセキュリティパッチを維持する。
  • 認証イベントの詳細なログを有効にする。
  • 異常なリモート実行活動を積極的に監視する。
  • 次世代アンチウイルスまたはエンドポイント検出応答(EDR)ソリューションを展開する。
  • 24時間365日のマネージド検出応答(MDR)プロバイダーと提携し、継続的な脅威ハンティングと迅速な封じ込めを確保する。

これらの対策を採用することで、組織はChaosBotのような洗練されたバックドアの影響を最小限に抑え、攻撃者の一歩先を行くことができます。

元記事: https://gbhackers.com/ciscovpn-and-active-directory/

投稿をさらに読み込む