画面制御、ブラウザアーティファクトアクセス、およびユーザーアカウント制御(UAC)バイパスが可能な高度なマルウェアフレームワーク。攻撃者がオープンソースツールを実世界の侵害に適応させている様子が増加していることを示しています。
攻撃チェーンは、通常のエンタープライズトラフィックに溶け込むように設計された慎重に段階化された操作を明らかにしました。
調査者は、疑わしいインフラストラクチャアクティビティ、ホストレベルのアーティファクト、およびコマンド&コントロール(C2)通信パターンを観察しました。これらを関連付けると、孤立した異常ではなく、完全な侵害の試みが明らかになります。
帰属は結論が出ていませんが、研究者はRshellベースのツール、TencentのようなAPI偽装、インフラストラクチャの重複の使用により、活動が中国関連と疑われると評価しています。
TencShellはRshellから派生したカスタマイズされたインプラントで、オープンソースのGoベースのC2フレームワークです。Rshellは攻撃的なセキュリティテスト用に意図されていますが、攻撃者はそれを修正し、ステルスなエクスプロイト後ツールキットに再パッケージしました。
2026年4月、Cato CTRLは、以前は文書化されていなかったTencShellという名前のインプラントを含む試みられた攻撃を検出およびブロックしました。これはインド拠点での第三者接続を通じて、グローバルな製造組織をターゲットにしていました。
「TencShell」という名前はその二重性を反映し、リモートシェル機能とC2通信を組み合わせ、Tencentスタイルのウェブサービスを模倣するように設計され、悪意のあるトラフィックが正当に見えるようにします。
感染チェーンは、第1段階のドロッパーから始まりました。これは、完全な意図を明かさずに攻撃を開始した軽量実行ファイルです。
スクリーン制御とUACバイパス
このドロッパーは攻撃者が制御するインフラストラクチャに接続し、.woffウェブフォントファイルに偽装された次の段階のペイロードを取得しました。
このようなファイルは、ウェブサイトで一般的に使用されるため、悪意のある配信には効果的な偽装です。この場合、.woffリソースは実際にはDonutシェルコード(ペイロードをメモリ内で直接実行するために使用されるツール)を含んでいました。
取得されると、シェルコードは同じプロセス内で反射的に実行されました。マルウェアはメモリを割り当て、ペイロードを注入し、ディスクに触れずに実行することで、フォレンジック可視性を減らしました。
Donutランタイムは、最終的なペイロードであるTencShellをメモリ内に完全にロードしました。このテクニックにより、攻撃者は従来のファイルベースの検出メカニズムを回避することができました。
実行後、TencShellは構造化されたウェブのようなAPIリクエストを使用して、攻撃者が制御するサーバとの通信を確立しようとしました。
これらのリクエストは正当なバックエンドトラフィックを模倣し、検出をより困難にしました。セキュリティテレメトリは、TencentのようなURIパターンの繰り返しの使用を示し、通信設計が意図的であり、より広いキャンペーンの一部であるという考えを強化しました。
C2パネルは、感染したクライアントを管理し、コマンドを発行するために使用されるオペレータ側のインターフェイスを提供します。
成功した場合、マルウェアは侵害されたシステムに対する広範な制御を提供したであろう。機能には、リモートコマンド実行、ファイルアクセス、プロセス操作、システムプロファイリングが含まれていました。
より高度な機能は、スクリーンキャプチャと相互作用を可能にし、攻撃者がマウスクリックとキーボード入力をシミュレートできるようにしました。
インプラントはまた、ブラウザデータアクセスをサポートしており、ChromeおよびEdgeアーティファクトの潜在的な抽出またはクリーンアップを含み、機密セッションデータを暴露する可能性があります。
TencShellはさらに、SOCKS5を使用したプロキシングおよびトンネリング機能を含み、攻撃者が内部ネットワーク内でピボットし、インターネットに直接公開されていないシステムにアクセスできるようにしました。
また、追加のペイロードのメモリ内実行をサポートし、オペレーターがディスク上に痕跡を残さずにさらなるツールをデプロイできるようにしました。組み込みのUACバイパスメカニズムは、昇格された特権を得る可能性を高めました。
永続性は「OneDriveHealthTask」という名前のWindowsレジストリRunキーエントリを通じて達成され、カジュアルな検査中に正当に見えるように設計された値です。これにより、マルウェアが再起動を生き延び、検出されない場合は長期的なアクセスを維持できることが保証されました。
Cato CTRLは、攻撃者が安定した足がかりを確立する前に侵害を成功裏にブロックしました。検出は、疑わしいURL、ペイロードステージング動作、および偽装されたウェブリソースの使用を含む複数の指標に基づいていました。
このインシデントは、攻撃者がオープンソースフレームワークを強力な侵害ツールに目的変更する増加傾向を浮き彫りにしています。
マルウェアを最初から構築するのではなく、彼らは既存のプロジェクトに適応させ、ステルス機能を追加し、ターゲットを絞ったキャンペーンにデプロイします。
組織、特に第三者アクセスに依存する組織にとって、これは信頼できる接続が攻撃経路になるリスク、および微妙なマルチステージ攻撃動作を監視することの重要性を強調しています。
侵害の指標
| ハッシュ | 指標 |
|---|---|
| c3ecb90c9915daa23aec51f93ff8665778866f0592b2413578c8ba9708df6091 | 45.64.52.242 |
| 660af53acdc505f333f6d4f4269cec740a5eb05e41a4c7926742606b18f22d33 | 192.238.134.166 |
| 37facbbd0047c19f4efdea75ccb9e3ec793cb9b1d7846afa4fb8e900d6e9ed95 | 45.115.38.27 |
| 01dc3e7e673b4f2682f29b19ecabf9a6ec9c3042c9b1cfb39dbdddf1dda680ab | gin-tne-fahcesmukw.cn-hangzhou.fcapp.run |
| 750a707084839fe970266964957b8eaa7e25b4d9ca1050cd7ab19e4a2add707d | — |
| 12f76f48727916d6c05f53f8cd94915db5de5ffcbfa02c4807c27e090cfa47c1 | — |
| 4ae8de40153c66455d972e6e98fe06fb68db7301ba126557e96599527bc5509c | — |
| 1ba73df60e12b3feb8b5574e65cfceb6910460ab7fae2cf5554769fafdad049e | — |
| 5eff99959683480d2280c931e433af836adf6a8b7a8489b1af17cddcf480cf63 | — |
| 0fe91200a2bb4aed13b1a1ba4ec8fd4454566f5929ffed4f537d9a87c1bf1187 | — |
| 7f6bec5dd217151fcd03087a6e7ba1070f0fa603801fb128a4097076c9976d36 | — |
| ed6058f0b0735ba56b781dea39353625fcb56bc3e77bf2d26a648511d754d216 | — |
| 710539554f065fe9a0bf6a6e32d3ea73ab3c797a033f8bfef57ad929bcdf9195 | — |
| 79340e589a69f5dc204d4073341a07e98a588d0401d18f34991d14b71a475063 | — |
| 8363ff6bddfaf247318308f215ad53f3c77f218d4a6562b537aeaf7e9135d10f | — |
| df5f74e1e0e5b0a0748de2efd86358293b4d368d171a926af6f14880d55adb57 | — |
| b7a5192a90c14a9a36e5a3565fed46becffa88dbc719e8ee396a0c9d46f5dde4 | — |
| b77c8531ee45ffdfd63ef19aa1f1ae8b603b274f6951f7d8f4e725130bfca06d | — |
| 6de4da7919185f84212d02011e955530011b08c389408f2a012b81757c3d0c0f | — |
| 31635e4667eba1ba3588e1bc9c05d18a78d9693c801e5176e6cddf74e0d5bcc2 | — |
| d252aeabbf4cd9f336e83d1fa0042fcc2f74f45d4b8cbe2a8bfe790d4db0580d | — |
| 7170f3051cc9f4520e84f1ea3b599616d82be8e5087f19d8e2951fa6848924b3 | — |
| aaf49281b2f65390adc2e763af37fc4e3fe03b94af550927fc91141e0d6347db | — |
| 1d2e37b41d616ecb32b8bd2f2a52c792f1808fdc938574fc366d737b6f643c61 | — |
| 7abc129482ccdf787b35b92b7d5b7ff2478e72fe516f4ceca0c02e23a1d34314 | — |
| 147f86854690ba096f3797c623b66365d6adbf7140d7d7c3dcf746b83a4b6dac | — |
| 943f952652fbc16923c0519449feeee11698304dac51268d4e6065146dcad69e | — |
| 73c24bafba21f871cc9d28de92ee7e4b9f9c8ec337279c14c1facdb9feeb7af4 | — |
| 905ae6ac24225db221da346a1695e443ba4c57ea1c9066e8bac3e5fcb4156fc7 | — |
| 5c02115b3f090551393cca3ce91fe837727d1c4586164c580759eb94387dba10 | — |
| 12c6d0e603386b81751d95b32d1698d794c99343abb06d066b0f6060e8690aca | — |
| 1329be66458962dabfa20185c230439c57d32b90a20de791afdce9c15226fccb | — |
| 2a010bd1061e11da6f5cf951a3ebd23503916e159e3d486cc722b4b8b4a099c9 | — |
| 746c4cd5fe3a8edd37d4b37b23af64b1086b5ea7c1ab0bcfd9c47e4e2e986518 | — |
| 5ef76098be5ed1559b71ebd8d29cb32c1825991824051d8a641746e08bf9e1b3 | — |
| 5ac484ec0846fff8f099b234dfd1602864300da8c68b01822c6036eb709fc584 | — |
| 976f890ab0ee8aac613da2458d0069f00d0ebabc76f1fceb63e05b2113f6a449 | — |
| 065f5a605ac04d5f443089b65aa1393414ee38c4ee8f780e7d78c06b46504ae4 | — |
| cdb9d76093d0938f30d93bcce4f58b13b4b21c9188eea387c6d9ec6f4cb4aad4 | — |
| b5e0866368873b4c5eacc6df01114fc749cc32f507e9324bc6d763999371777d | — |
| 75b36769f0d36c05be74d41610d4af3f73397983ba746f8c569de6e23ee130e0 | — |
| 64944d2a6129631ff675c6dcfdd57a7e99a1e4dc41802cbd0eabcef3eb3e81c3 | — |
| 921e41190fed3437ca7a0d53e7590ccb0f1ab5d667532778fbda5664c657d712 | — |
| 5d19c07e3fb7ac4ff56a23f6e658d691f381442b1db2f8c5f345563c1cdc8998 | — |
| 3ffe3a6f328a6459624bd93edd206e2256b2753e17137cbc1530b91fa325ecac | — |
| 2012ff4d7c36e42d256d78c265f242d29a305af66686866c581ee96c2b05d5a6 | — |
| fdb5eca8f00e1802f3c9c0ca79f93a8419353f4ef2a0606bec39c4497da91035 | — |
| 065c54893e4777d52be6b7bf30b832d5ffd9d96fd178642a5828a364c0e904a0 | — |
| 8f5f4408998bbfc6987d9cb39216071c57c7b087f2867a504e83414ee5cfcd08 | — |
| 06776635e386d536b1b0fc21e6aa41865d44d83dae5e9b109868d71ca309eeaa | — |
| 94f67819c0f7e200abf4b39fad2fd6fef227da15d939f21a657d1717ca2b3014 | — |
注: IPアドレスとドメインは、意図的に脱牙化されています(例:[.])。偶発的な解決またはハイパーリンクを防ぐためです。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみ再牙化してください。
翻訳元: https://gbhackers.com/screen-control-and-uac-bypass/
