LONGLEASHマルウェアがリバースシェル、プロキシ、中継C2機能を追加

UAT-7810という攻撃者が維持するマルウェアに重大なアップグレードが確認されました。以前報告されたSHORTLEASHインプラントの後継となるLONGLEASHは、リバースシェル、複数プロトコルに対応したプロキシ機能、そして中継的なコマンド&コントロール(C2)転送機能を備えています。

LONGLEASHはSHORTLEASHのff-agentコードベースを継承しつつ、動作範囲を拡張しています。内部的に「nz1.0」と呼ばれるこのインプラントは、Base、Executor、Coreの各モジュールに分かれています。

Baseモジュールはユーティリティ(Base58/Base64のルーチンを含む)とロギング機能を実装しています。Coreは識別情報、認可プリミティブ、protobuf処理(Nanopb経由)、基本的なSHAチェック、タスクスケジューリングを担います。Executorは価値の高いネットワーキング機能と永続化機能を実装しています。

このペイロードは複数のアーキテクチャ向けにビルドされており、MIPS版は非同期ネットワークスループットを最大化するためBoost.Asioを用いてコンパイルされています。TLSおよびx509管理にはMbedTLSを、最小限のlibcとしてはmuslを利用しています。

LONGLEASHはまた、正規のトラフィックに紛れ込むため、最新のChromeのUser-Agent文字列を偽装します。

Executorの機能セットからは、単純なインプラントからネットワークインフラの構成要素へと明確に進化している様子がうかがえます。LONGLEASHはC2へのリバースシェル接続をサポートし、HTTP、DNS、SOCKS、TCP、ICMP、UDPに対応するプロキシサーバー機能を実装しています。

TCP、UDP、HTTPに基づくパケットのリダイレクトが可能なほか、SMTPクライアント/サーバーとして動作し、TLSで保護された通信リンクやPKI関連の資材を管理することもできます。

特に重要な点として、LONGLEASHは中継的なC2ノードとして機能し得ることが挙げられます。上流のコントローラからコマンドやペイロードを取得し、それを配下のインプラントへ転送することで、真のC2の所在を隠しつつ二次的な運用者に耐障害性と運用上の柔軟性をもたらす多層のORBネットワークを実現します。

Cisco TalosがGBhackersと共有したレポートの中で述べたところによると、UAT-7810はSecurityScorecardが2025年に初めて文書化したOperational Relay Box(ORB)インフラ(LapDogs STRIKEレポート)と関連があるとしています。同社は、この攻撃者を中国系と高い確度で評価しており、UAT-5918のような二次的な中国系APTに対して中継サービスを提供しているとみられるとしています。

LONGLEASHマルウェアによる攻撃

Talosは、UAT-7810の武器庫からさらに2つのツールセットを発見しました。DOGLEASHは、侵害されたLinuxネットワーキング機器上に単純な起動スクリプトを通じて展開される、コンパクトなCバックドアです。このスクリプトはiptablesのルールを追加し、DOGLEASHをダウンロードしてハードコードされたローカルのTCPポートにバインドし、静的なパスワードを用いて着信トラフィックを復号します。

Image

実行可能なコマンドには、シェル実行、ファイルの読み取り・リネーム、OSのフィンガープリンティング、リスナーのシャットダウン、そして任意コードのメモリ内直接実行などが含まれます。

JARLEASHは、設定内に簡体字中国語のコメントを含むJavaベースの管理者向けバックドアで、Webファイル管理、FTP/SFTPホスティング、そしてnetcatのようなリモートアクセスのチャネルとして運用者に利用されています。

TALOSはさらに、一見無害に見えるMIPS向けのテストバイナリLEASHTESTも発見しており、これはIoT機器に対する能動的なテスト、およびその機器がすでに侵害されている可能性が高いことを示すものです。

インフラの分析により、MIPS、ARM、x64の各デバイス向けにペイロードを配置するために使われている、少なくとも4つの新たなVPSホスト が明らかになりました。注目すべきIPアドレスとしては、194.233.92[.]26、217.15.160[.]247、217.15.164[.]147、そして95.182.100[.]231(香港)が挙げられます。

Image

2つのホストは、証明書のフィンガープリントc2ab9adaba93ff094b8f3fc37d906014d870582039d276b7bd03e6fd583d8a15を使い、ポート99でTLS通信を提供していました。その証明書のサブジェクトDNには「exploit」という文字列を含むフィールドが設定されていました。

初期侵入の手段として、UAT-7810はRuckusルーターに存在する未パッチの旧来の脆弱性(CVE-2020-22653CVE-2020-22658)に加え、CVE-2023-25717や、ASUS AiCloudの脆弱性チェーンであるCVE-2025-2492といった、比較的新しいルーター・IoT機器の脆弱性の悪用を続けています。

検知・軽減策について、TalosはLONGLEASH、DOGLEASH、JARLEASHおよび各アーキテクチャ向けの亜種をカバーするSNORT SID(66433、66432、66430、66431、301493)とClamAVシグネチャを公開しています。

ネットワーク防御担当者は、通常とは異なるポート(特に、確認された証明書を使用するポート99)での不審なTLS通信、iptables経由で作成された非標準的なTCPポート上での永続的なリスナー、デバイスのプロファイルと一致しないHTTPのUser-Agent文字列、予期しないプロキシトンネル(SOCKS/HTTP/DNS/ICMP/UDP)、そして上記に列挙したIPアドレスに関連する痕跡を監視すべきです。

露出しているRuckusおよびASUSの機器にはパッチを適用し、不正なリスナーやcrontabのエントリを除去したうえで、ORBノードと疑われる機器のフォレンジックイメージングを実施し、横展開(ラテラルムーブメント)の起点を特定することが求められます。

IOC(侵害指標)

# IPアドレス ポート URL(無害化済み)
1 194.233.92[.]26 8088 http[:]//194.233.92[.]26:8088/
2 194.233.92[.]26 2222 http[:]//194.233.92[.]26:2222/
3 217.15.160[.]247 8088 http[:]//217.15.160[.]247:8088/
4 217.15.160[.]247 2222 http[:]//217.15.160[.]247:2222/
5 217.15.160[.]247 99 http[:]//217.15.160[.]247:99/
6 217.15.164[.]147 99 http[:]//217.15.164[.]147:99/
7 217.15.164[.]147 8088 http[:]//217.15.164[.]147:8088/
8 217.15.164[.]147 2222 http[:]//217.15.164[.]147:2222/
9 95.182.100[.]231 2222 http[:]//95.182.100[.]231:2222/

注: IPアドレスおよびドメインは、誤った名前解決やリンク化を防ぐため、意図的に無害化(例: [.])されています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいは自組織のSIEMといった、管理された脅威インテリジェンス基盤の中でのみ行ってください。

2019年当時のSOCを前提としたSLAはもう卒業しましょう ― 2026年版AI SLA ベンダーチェックリスト ― 無料の AI SOC SLA ガイドをダウンロード

翻訳元: https://gbhackers.com/longleash-malware-attack/

ソース: gbhackers.com