サイバーニュース.jp

世界のサイバーなニュースを配信

Curly COMradesハッカー集団、Windows 10システムへのステルスリモートアクセスに新ツールを導入

カテゴリ:

概要:高度な回避技術を駆使するCurly COMrades

「Curly COMrades」として知られる高度な脅威アクターが、正規のWindows仮想化機能を悪用し、被害者ネットワークへの隠密かつ長期的なアクセスを確立する高度な回避能力を示しました。ロシアの地政学的利益を支援するために活動するこのグループは、従来のEDR(エンドポイント検出および対応)ソリューションを効果的に回避する革新的なツールと技術を展開しています。ジョージアのオペレーション技術庁傘下のジョージアCERTとの共同調査により、Hyper-Vの悪用とカスタムマルウェアインプラントを中心とした多層的な攻撃フレームワークが明らかになりました。

Hyper-Vを悪用した隔離された攻撃インフラ

このキャンペーンで最も注目すべき発見は、Windowsのネイティブ仮想化プラットフォームであるHyper-Vを悪用し、侵害されたマシン上に直接隔離された攻撃インフラを構築している点です。Curly COMradesは、ホストOSに直接マルウェアを展開する代わりに、選択されたWindows 10システムでHyper-Vロールを有効にし、カスタムマルウェアを含む最小限のAlpine Linuxベースの仮想マシンを展開しました。この環境は、わずか120MBのディスクスペースと256MBのメモリしか消費せず、検出リスクを大幅に低減する軽量なフットプリントを実現しています。

攻撃者は、仮想マシンをHyper-Vのデフォルトスイッチネットワークアダプターを使用するように構成し、すべてのトラフィックをホストのネットワークスタックを介してNAT(ネットワークアドレス変換)でルーティングさせました。この巧妙な構成により、すべての悪意のあるアウトバウンド通信が正規のホストマシンのIPアドレスから発信されているように見せかけ、攻撃の真の発生源を効果的に隠蔽しました。VM自体は、攻撃者によって制御されるドメイン-IPマッピングとプライベートDNSサーバー構成でカスタマイズされ、従来のホストベースの監視から隔離されたまま、コマンド&コントロールインフラとの直接通信を可能にしています。

カスタムマルウェア「CurlyShell」と「CurlCat」

仮想化された環境内で、Curly COMradesは密接に関連する2つのカスタムマルウェアファミリー、CurlyShellとCurlCatを展開しました。両方のインプラントは、C++で書かれ、libcurlライブラリを中心に構築された同一の基盤コードベースを共有していますが、それぞれ異なる運用目的を持っています。

  • CurlyShell:HTTPSを使用してコマンド&コントロールインフラへの主要な接続を確立および維持する永続的なリバースシェルとして機能します。このマルウェアは、標準的なエンコーディングパターンを期待するセキュリティツールを回避するために、非標準のBase64エンコーディングアルファベットを使用しています。永続性のために、4時間ごとに20分間隔で実行されるシンプルかつ効果的なcronジョブを利用し、システム再起動後も継続的なアクセスを確保します。
  • CurlCat:送信SSHトラフィックを標準HTTPリクエストペイロードにラップするように特別に設計されたリバースプロキシトンネルマネージャーとして動作します。この技術により、攻撃者は悪意のある通信を正規のネットワークトラフィックと混在させ、ネットワークベースの検出システムを回避します。このマルウェアは、ProxyCommandメカニズムを使用して、すべての後続の接続を攻撃者のインフラ上のSOCKSプロキシを介して密かにトンネルするように、SSHクライアント構成に直接統合されます。

PowerShellベースのラテラルムーブメント

仮想化された環境を超えて、調査員は侵害されたネットワーク全体でラテラルムーブメントを可能にする洗練されたPowerShellスクリプトを発見しました。c:\programdata\kb_upd.ps1で見つかったあるスクリプトは、LSASSプロセスにKerberosチケットインジェクションを実行し、攻撃者がパスワードを必要とせずにリモートシステムに認証できるようにします。このスクリプトは、ハードコードされたキーを使用して埋め込まれたペイロードを暗号化しており、慎重な運用セキュリティへの配慮を示しています。

また、グループポリシー展開を通じて発見された2番目のPowerShellバリアントは、ドメイン参加済みマシン上に永続的なローカルアカウントを作成します。c:\Windows\ps1\screensaver.ps1およびその後のバリアントで見つかったこれらのスクリプトは、修復の試行後も永続的なアクセスを維持するために、アカウントパスワードを繰り返しリセットします。

コマンド&コントロールインフラの分析

攻撃者のコマンド&コントロールインフラの重要な分析は、セキュリティ研究者とジョージアCERT当局との迅速な協力によって可能になりました。ジョージア当局がリレーポイントとして使用されていた侵害されたウェブサイトを押収した際、フォレンジック分析により、被害者トラフィックを攻撃者インフラ(88.198.91[.]116)にリダイレクトするiptablesルールが、カスタムsshdサービスやフォレンジック痕跡を最小限に抑えるように設計されたアプリケーションレベルのプロキシ構成とともに明らかになりました。

結論:多層的な防御戦略の重要性

この調査は、現代の脅威アクターが検出を回避するために正規のシステム機能をますます悪用していることを示しており、組織は従来のEDRソリューションを超えた多層的な防御セキュリティ戦略を実装する必要があることを強調しています。

元記事: https://gbhackers.com/comrades-hacker-group/

投稿をさらに読み込む