グローバルな製造業企業を標的とした極めて巧妙なサイバー攻撃により、TencShellとして知られるステルス性の高い新たな脅威が企業ネットワークをハイジャックする前に無効化されました。
侵入の試みは、製造業者のインド地域サイトに接続された侵害されたサードパーティ製ユーザーにまで遡られました。
Cato CTRLによると、TencShellはオープンソースのRshell コマンド・アンド・コントロール(C2)フレームワークから派生したカスタマイズされたGo言語ベースのインプラントです。
セキュリティアナリストは、このマルウェアが中国の脅威アクターと関係があると考えており、その理由はインフラストラクチャパターンと、悪意のあるコミュニケーションを偽装するために設計されたテンセントAPIサービスの巧妙な偽装です。
このインフェクションチェーンは信じられないほどのステルス性で実行されます。軽量の第1段階ドロッパーは、無害な.woffウェブフォントファイルに偽装されたDonutシェルコードを取得します。
偽のフォントリクエストと偽装されたユーザーエージェントの背後に隠れることで、ペイロードは標準の自動化されたセキュリティフィルターをバイパスして、日常的なウェブトラフィックに簡単に混ざり込みます。
取得されると、シェルコードは反射的にカスタマイズされたTencShellフレームワークをローカルメモリに直接ロードし、明白なクロスプロセスメモリインジェクションなしで完全に動作します。
単純なバックドアとして機能するのではなく、TencShellは多くのポストエクスプロイテーション機能が搭載された包括的なオペレータツールキットとして動作します。
マルウェアはファイルシステムをステルスで移動して、アクティブなプロセスと論理ドライブを列挙しながら、機密データを閲覧、読取、移動、抽出できます。
エンドポイント防御を回避するために、攻撃者はインラインバイナリを実行し、ダイナミックリンクライブラリをロード、.NETアセンブリをメモリから直接実行できます。
フレームワークはまた、オペレータがSOCKS5プロキシを確立して、トラフィックをトンネリングし、セグメント化された内部システムへより深くピボットできるようになります。
オペレータはリモート画面ストリーミングを開始し、マウスとキーボード入力をシミュレートし、ChromeとEdgeセッションデータをバックアップまたは静かに削除してブラウザアーティファクトを操作できます。
フレームワークはまた、UACバイパスとビーコンスリープタイマーの変更機能を含んでいます。
システム再起動を通じて継続的なアクセスを確保するために、インプラントはWindows Registryランキーを変更することで永続性を確立します。
「OneDriveHealthTask」という欺瞞的な名前の下でオートラン実行を偽装し、カジュアルなセキュリティ検査中に正当なMicrosoftバックグラウンドプロセスと一緒にシームレスに混ざり込むことができます。
セキュリティチームは、エンタープライズネットワークで以下の攻撃者制御インフラストラクチャとTencShellキャンペーンに関連するIPアドレスを監視する必要があります:
翻訳元: https://cyberpress.org/malware-gains-browser-access/