Cloud Atlas 高度持続的脅威(APT)グループは、2025年から2026年初頭にかけてサイバースパイ活動を激化させており、主にロシアおよびベラルーシの政府機関や外交機関を標的としています。
新たに発見された一連の攻撃において、研究者たちは脅威アクターがWindowsのtermsrv.dllファイルにパッチを適用し、隠蔽された複数の同時リモートデスクトッププロトコル(RDP)セッションを維持するなど、高度な回避技術を展開していることを確認しました。
Cloud Atlasは標的環境への侵入に際し、悪意のあるLNKショートカットファイルを含むZIPアーカイブを配布するフィッシングキャンペーンを利用しています。
感染成功率を最大化するために、攻撃者はCVE-2018-0802(Microsoft Office数式エディタの古い脆弱性)を悪用した悪意のある文書も配布し、ユーザーの操作なしにリモートコードを実行します。
Windowsレジストリのランキーに自身を書き込み、ユーザーの注意をそらすためのおとりPDFをダウンロードし、WinRARなどのアーカイバプロセスを終了させることで痕跡を隠蔽し、持続性を確保します。
初期のフォレンジックアーティファクトを消去してエンドポイント検出・対応(EDR)システムを妨害した後、ローダーは2つの主要なペイロードを展開します。
最近のCloud Atlasキャンペーンで最も注目すべき進展は、秘密裏なマルチユーザーアクセスを可能にするためのリモートデスクトッププロトコルサービスの改ざんです。
攻撃者はカスタムスクリプトを実行して、リモートデスクトップセッションを管理するWindowsのコアライブラリであるtermsrv.dllを操作します。
Securelistの調査によると、Windows 10は同時RDP接続数を制限しています。脅威アクターはtermsrv.dllファイルの所有権を取得し、リモートアクセスを許可するようにファイアウォールルールを変更し、特定のメモリアドレスにパッチを適用することでこの制限を回避します。
継続的なアクセスを確保するために、Cloud Atlasは複数の冗長なトンネリング手法を採用しています。
翻訳元: https://cyberpress.org/hackers-patch-rdp-sessions/