2026年5月5日、Sysdig脅威研究チーム(TRT)は、脅威アクターがNATSサーバーをC2インフラストラクチャとして使用する新しいコマンド・アンド・コントロール(C2)技術を特定しました。Sysdig TRTはこの技術を「NATS-as-C2」と呼んでいます。従来のHTTPベースのパネルやチャットプラットフォームに依存するのではなく、攻撃者は最新の分散システムに関連するインフラストラクチャを利用しました。
Sysdig TRTはこの活動を、CVE-2026-33017(Langflowの認証なしリモートコード実行(RCE)脆弱性で、2026年3月25日にCISA KEVカタログに追加された)の長期的な悪用活動に関連付けました。159.89.205.184(DigitalOcean)のオペレータは、約30分間のハンズオン活動中にPythonワーカーとGoバイナリをダウンロードしました。この期間中、Sysdig TRTは脅威アクターのペイロードをキャプチャし、その調整プレーン(座標面)を公開しました:認証と、ACL強制を実行している45.192.109.25:14222のNATSサーバーです。その後、攻撃者はDirtyPipeとDirtyCredsエクスプロイトを使用してコンテナをエスケープしようとしました。
脅威アクターはDiscord、Telegram、GitHub、クラウドストレージ、AIアシスタントなど、合法的なプラットフォームやサービスをコバートコミュニケーションチャネルとしてますます採用しています。そして、4月10日にリークされた公開されたHetznerクラスターを含む、今年発表されたより高度なクレデンシャルスタッフィング活動はFlask plus Socket.IOをREST経由で使用しました。サブジェクトレベルの認可を持つネイティブなpub/subメッセージブローカーの使用は、どちらのパターンでも注目すべき進化です。
簡単に言えば、Sysdig TRTは攻撃者が脆弱性を悪用し、マルウェアをインストールし、横方向に移動してより深いシステム制御を確立するのを観察しました。目立つのは、攻撃者が通常は高速アプリケーション通信用のメッセージングサーバーであるNATSを隠しC2システムとして新しく使用したことです。この操作は脅威アクターに、感染したマシンを管理するためのより高度で組織的な手段を与えました。
侵害のインジケータ
|
インジケータ |
タイプ |
|
45.192.109.25:14222 |
NATS C2 |
|
159.89.205.184:8888 |
ステージングHTTP |
ファイルハッシュ
|
ファイル |
SHA-256 |
サイズ |
|
worker-linux-amd64 |
dbee863ad2a39f939be2c7ed76f7d5a8fe000aad2d2b2d32b3e8ec3ee42f1c25 |
9,453,752 |
|
keyhunter_worker.py |
323bbf3064d4b83df7920d752636b1acb36f462e58609a815bd8084d1e6b004c |
10,979 |
|
deploy.sh |
16b279aa018c64294d58280636e538f86e3dd9bdcb5734c203373394b72d101a |
1,424 |
