TokyoBlackHatNews

gbhackers.com 5分で読了

APT グループが複数の RDP セッションを有効にするために termsrv.dll にパッチを適用

Cloud Atlas 高度持続的脅威 (APT) グループに帰属する継続的なサイバー諜報キャンペーンは、Windows termsrv.dll ライブラリを変更して侵害されたシステム上で複数のリモート デスクトップ プロトコル (RDP) セッションを有効にするステルス技術を導入しました。

2025 年全体で観察され、2026 年まで続く活動は、主にロシアとベラルーシの政府および商業機関を対象とし、従来のエクスプロイトと新たに特定されたツールおよび永続化メカニズムを組み合わせています。

実行すると、これらのショートカットはリモート インフラストラクチャでホストされている PowerShell スクリプトを無音で起動します。同時に、グループは Equation Editor 脆弱性 CVE-2018-0802 を悪用するドキュメントも武器化して、追加のペイロードをダウンロードします。

実行されると、PowerShell スクリプトはセカンダリ ペイロード (fixed.ps1) をシステムの一時ディレクトリに格納し、Windows レジストリを介して自動実行を設定することで、早期の永続性を確立します。

同時に、デコイ アーカイブを取得し、PDF ドキュメントを抽出して被害者に表示し、悪意のある活動をマスクします。この気晴らしの間に、スクリプトはフォレンジック成果物を削除し、メイン ペイロードを起動します。

fixed.ps1 ローダーは、VBCloud と PowerShower という 2 つの主要バックドアの配信メカニズムとして機能します。VBCloud はファイル盗用インプラントとして動作し、RC4 を使用してメモリ内で復号化され、VBS ローダー経由で実行される暗号化されたペイロード (video.mds) を展開します。DOC、PDF、XLS などの機密ドキュメントを攻撃者が制御するサーバに流出させます。

Image

一方、PowerShower は偵察と横展開に焦点を当てています。システムおよびドメイン情報を収集し、リモート PowerShell コマンドを実行し、Kerberoasting 攻撃を実行して Active Directory 認証情報を抽出します。

また、fodhelper.exe を経由した UAC バイパスを活用して昇格された特権を取得し、シャドウ コピーを通じて SAM および SECURITY レジストリ ハイブへのアクセスを有効にする認証情報収集モジュールも展開します。

Cloud Atlas は GBhackers と共有されたレポートで述べています。2014 年から活動している同グループは、引き続きフィッシング メールを主要な初期アクセス ベクトルとして利用しています。最近のキャンペーンでは、攻撃者は悪意のある LNK ショートカット ファイルを含む ZIP アーカイブを配布しました。

Image

このキャンペーンの注目すべき進化は、Windows termsrv.dll ファイルを変更する rdp_new.ps1 という名前の PowerShell スクリプトの展開です。

このライブラリは RDP セッション処理を制御し、通常は同時ログインを制限します。スクリプトはファイルの所有権を取得し、特定のバイト シーケンスを変更し、RDP サービスを再起動します。

APT グループが termsrv.dll にパッチを適用

その結果、複数の同時 RDP セッションが有効になり、攻撃者は正当なユーザーを妨害することなく隠れたアクセスを維持できます。これは検出される可能性を大幅に低下させます。

永続性と回復力を強化するために、Cloud Atlas は複数のトンネリング技術を採用しています。リバース SSH トンネルは感染したホストから攻撃者が制御するサーバーまで確立され、インバウンド ファイアウォール制限をバイパスします。

これらのトンネルは PsExec などのツール経由で実行される VBS スクリプトを使用して管理され、スケジュール されたタスクは継続的な動作を保証します。場合によっては、攻撃者はファイルのアクセス許可を変更して、SSH キーを管理アクセスから保護します。

さらに、標準的な暗号化ライブラリをカスタムライブラリに置き換えて検出を回避する、OpenSSH の改変版が観察されています。

このグループは、内部ネットワークへのプロキシ チャネルを作成するために、Go ベースのトンネリング ユーティリティである RevSocks も展開しています。Tor 隠しサービスは、匿名化されたインフラストラクチャを通じた RDP 接続を有効にして、オニオン ドメイン経由で侵害されたシステムを公開することで、さらにアクセスを拡張します。

Image

新たに特定された別のツール PowerCloud は、管理ユーザー データを収集し、Base64 エンコード形式で Google Sheets に流出させます。これは、正当なクラウド サービスをデータ ステージングと流出に使用する方へのグループのシフトを強調しています。

テレメトリーは、キャンペーンが政府および外交機関を大きく対象としていることを示しており、Cloud Atlas の歴史的な焦点と一致しています。Head Mare グループにリンクされた活動との一部のインフラストラクチャ オーバーラップが観察されていますが、戦術とツールは異なります。

SSH、Tor、RevSocks などの公開入手可能なツールの継続的な使用と、RDP 操作などの高度な技術の組み合わせは、Cloud Atlas の進化する機能を実証しています。

これらの階層化された永続化メカニズムは、検出と修復を複雑にし、システム ライブラリ、PowerShell アクティビティ、および不正なリモート アクセス構成の厳重な監視の必要性を強調しています。

翻訳元: https://gbhackers.com/apt-group-patches-termsrv-dll/

ソース: gbhackers.com
#APT #Cloud Atlas #Kerberoasting #PowerShell #RDP #Tor #Windows #データ流出 #バックドア #永続化メカニズム

関連記事

InvisibleFerretマルウェアは.pydおよび.soファイルを使用してスクリプト検出を回避

WhatsAppのチャット履歴がmacOSおよびiOSの暗号化されていないストレージに露出

Telegramチャネルがインフルエンサーで確認済みの銀行ミュールアカウントの販売を助長