「The Gentlemen」による独自Go製バックドーア、コマンド実行とSOCKSプロキシによる侵入拡大を可能に

「The Gentlemen」として知られるランサムウェアグループが使用する新たに発見された独自のGo言語製バックドーアが、攻撃者にリモートコマンドの実行、SOCKSプロキシトンネルの確立、そして侵害した企業ネットワーク内部へのさらなる侵入という強力な機能を与えていることが分かりました。

このマルウェアは暗号化処理が始まる直前に展開されるもので、同グループがステルス性、偵察活動、そして長期的なアクセス維持にますます力を入れていることを浮き立たせています。

2026年初頭からThe Gentlemenを追跡しているセキュリティ研究者たちは、このランサムウェア・アズ・ア・サービス(RaaS)の運営組織がツールキットと攻撃手法を大幅に拡充していることを確認しました。

同グループは急速に最も活発なランサムウェア運営組織の一つとなり、製造業、医療、金融、ITサービス、物流、重要インフラなど、世界中の組織を標的にしています。

ファイルの暗号化のみに注力する従来型のランサムウェア攻撃とは異なり、The Gentlemenは被害組織の環境内で情報収集に相当な時間をかけています。

同グループの攻撃は多くの場合、VPNアプライアンスやファイアウォールといったインターネットに面したサービスを悪用したり、盗まれた認証情報や脆弱な認証情報を利用することから始まります。

研究者たちは、同グループが初期アクセスブローカー(IAB)としばしば連携しており、被害組織を直接侵害するのではなく、企業ネットワークへの既存のアクセス権を購入している可能性が高いとも見ています。

最も注目される発見の一つが、フル機能を備えたバックドアとして動作する独自開発のGo製インプラントです。

調査担当者は、このマルウェアがランサムウェアのペイロードが展開されるおよそ1日前に配置されていることを確認しており、これは攻撃の準備段階において重要な役割を果たしていることを示しています。

実行後、このインプラントは侵害されたマシンに関する詳細情報を収集します。これにはホスト名、Windowsドメイン、UUID、ローカルIPアドレスが含まれます。

システムUUIDはWindows Management Instrumentation(WMI)のクエリを通じて取得され、その後これらの情報はJSON形式にまとめられ、Yamuxライブラリを通じて確立された永続的なTCP接続を介してリモートのコマンド&コントロール(C2)サーバーへ送信されます。

通信が確立されると、バックドアは攻撃者からの指示を待ちます。受信したコマンドに応じて、cmd.exeを通じてWindowsコマンドを実行することも、SOCKSプロキシトンネルを作成することも可能です。

このSOCKSプロキシ機能は特に価値が高く、攻撃者が感染したマシンを経由してネットワークトラフィックを転送できるようになり、本来アクセスできないはずの内部システムに到達することが可能になります。

これにより攻撃者は偵察活動の範囲を広げ、分離されたネットワークセグメントをスキャンし、検知されにくい状態を保ちながら企業環境全体を横断的に移動できるようになります。

研究者たちは、攻撃者が最初の接続確立後すぐに偵察コマンドを発行していることを確認しました。現在のユーザーの特定、ドメイン管理者グループの列挙、利用可能なグループの一覧取得、ファイルシステムの内容の探索などが含まれます。

これらのコマンドは、攻撃者がランサムウェアを展開する前に権限レベルを把握し、価値のあるシステムを特定するのに役立ちます。

Securelistによると、The Gentlemenは侵入活動において、正規の管理用ツールおよび攻撃用セキュリティツールを幅広く活用しています。

SharpADWS、NetScan、Advanced IP Scanner、そしてWindowsのnetshユーティリティといったツールが、Active Directory環境の列挙、ホストの発見、サービスのスキャン、ネットワークトラフィックのキャプチャに使用されています。

キャプチャされたパケットは後に解析され、認証情報や暗号化されていない通信内容といった機密情報の洗い出しに利用されます。

翻訳元: https://cyberpress.org/gentlemen-backdoor-socks-pivot/

ソース: cyberpress.org