2026年4月、Cato CTRLの脅威インテリジェンス専門家たちは、大手多国籍製造業企業を標的にした高度なネットワーク侵入の試みを阻止しました。攻撃者たちは、TencShellと呼ばれる未文書化のバックドア実体を展開して企業の周辺内に永続的な足がかりを確立しようとしており、これは侵害されたホスト上で無制限のリモートコマンド実行を可能にするオーケストレーション型の埋め込みコンポーネントでした。
Cato CTRLが作成した法医学的分析によると、異常なテレメトリはクライアントの展開環境への外部接続を維持する認証情報付きのサードパーティアカウントから発信されました。このインシデントは、企業のインド オペレーション ハブに特に影響を与えました。初期の侵害ベクトルは未確認のままですが、戦術的な仮説では、初期のペリメータブリーチはスピアフィッシング、悪意のあるWebドライブバイダウンロード、または隣接したデジタル配信経路を通じて達成されたと示唆しています。
攻撃チェーンは複数の段階的な階層に構成されていました。このシーケンスは軽量のステージャーローダーの実行で始まりました。これは意図的に包括的な機能セットを備えていないユーティリティで、後続のダウンストリームペイロードを容易にするために厳密に設計されていました。このステージャーは、.woff拡張子を保持する標準のWebフォントファイルとして巧みにマスクされたリモートアセットを対象とするアウトバウンドネットワーク要求を開始しました。企業インフラストラクチャは通常、ローカライズされたWebタイプグラフィをレンダリングするためにそのような拡張子を承認するため、異常な要求は無害な日常のWebアプリケーショントラフィックを正常に反映しました。
実際には、偽の字体資産はDonutを介して生成された暗号化されたシェルコードペイロードを含んでいました。Donutは、位置非依存のペイロードをボラティルメモリ内で直接実行するように設計された有名なオープンソースコンポーネントフレームワークです。このファイルレスの方法論により、攻撃者が物理ストレージディスク上に大幅に圧縮されたフォレンジックフットプリントを残すことが保証されます。取り込み後、実行シーケンスは離散仮想メモリ領域を割り当て、生のペイロードバイトをバッファにクローンし、メモリ保護権限を動的にエスカレートして実行し、実行制御を渡すための新しいシステムスレッドを生成しました。この高度なローディングパイプラインは、最終的にTencShellのメモリ常駐初期化を促進しました。
TencShellは構造的にはRshellから派生しており、Goで設計されたオープンソースの遠隔管理フレームワークです。この特定のバリアントでは、脅威アクターは配信メカニズムとネットワーク通信サブルーチンを徹底的に再設計して、ローカライズされたキャンペーン制約に合わせました。Cato CTRLは、リモートシェル機能とネットワークルーティング美学の収束により、TencShellというニックネームを割り当てました。これは正当なTencentのWebサービスへのテレメトリアウトバウンドを確信を持ってミミック化しました。この戦略的な偽装により、敵対的なコマンド&コントロール(C2)トラフィックが通常のアプリケーションプログラミングインターフェース(API)クエリにシームレスにブレンドしました。
アナリストたちは慎重にこの悪意のあるキャンペーンを中国から活動する国家支援クラスターに帰属させます。この技術的評価は、主にTencShellのRshell系統への依存、Tencentインフラストラクチャパスの細心の模倣、および相関するネットワークトポロジパターンに基づいています。しかし、Cato CTRLは、これらの孤立した環境指標は決定的で数学的に確実な帰属マトリックスを形成するには不十分であることを強調しています。
侵入パイプラインが完全実行を達成していた場合、TencShellは攻撃者に任意のシステムコマンドの実行、ボラティルメモリからのセカンダリペイロードの段階化、内部ファイルシステムの解析、アクティブなシステムプロセスの操作、ホストテレメトリの収集、ネットワークプロキシの確立を可能にしたはずです。これにより、侵害されたエンドポイントを隣接する企業サブネットを侵害するための運用上の支点に事実上変換します。バイナリの機能マトリックスへのフォレンジック深掘りにより、リモートデスクトップ操作、キーストローク注入、マウステレメトリシミュレーション、ポストエクスプロイテーションモジュールステージング、Windows User Account Control(UAC)転覆、および永続的なアクセスオーケストレーションに専用の高度なモジュールが明らかになりました。
TencShellは、\Software\Microsoft\Windows\CurrentVersion\Runに位置するネイティブWindowsレジストリ実行キーを武装化して、継続的なアクセスを長期間にわたって保証しました。埋め込みコンポーネントはOneDriveHealthTaskとして指定された不正なレジストリ値を生成し、管理者がキーを無害でネイティブなMicrosoftのクラウド同期デーモンとして見落とすことを計算しました。エントリをインスタンス化する前に、TencShellはレジストリハイブを事前に監査して、値がすでに存在するかどうかを判定しました。これは、べき等の再インストールと永続的な状態検証に対する組み込みサポートを実証する建築上のニュアンスです。
Cato CTRLは、攻撃者が回復力のあるリモート足がかりを確保する前に侵入を正常に終了させました。防御的な軽減策は異常の同期化によってトリガーされました。これには、疑わしい外部インフラストラクチャにリンクされた行動指標、不整合なメモリ常駐ペイロード読み込み、Webフォント拡張子の欺瞞的な呼び出し、および異常なネットワークルーティング軌跡の反復的な展開が含まれます。企業はこのインシデントを現代的な脅威モデリングの教科書的なケーススタディとして描写しています。攻撃者はますます成熟したオープンソースユーティリティをハイジャックし、標的化された操作のためにそれらを改善し、標準的な企業エンタープライズトラフィックの環境ノイズ内に悪意のあるフットプリントを細心に隠します。
翻訳元: https://meterpreter.org/china-linked-hackers-deploy-tencshell-backdoor-via-faux-web-font-files/
