2025年9月2日Ravie Lakshmananサイバー諜報 / ネットワークセキュリティ
サイバーセキュリティ研究者は、侵害されたシステムから機密データを取得するための多様な機能を備えた新たなステルス型バックドアMystRodXを公開しました。
「MystRodXはC++で実装された典型的なバックドアであり、ファイル管理、ポートフォワーディング、リバースシェル、ソケット管理などの機能をサポートしています」とQiAnXin XLabは先週公開したレポートで述べています。「一般的なバックドアと比較して、MystRodXはステルス性と柔軟性の面で際立っています。」
MystRodXはChronosRATとも呼ばれ、先月Palo Alto Networks Unit 42によって、CL-STA-0969と呼ばれる脅威活動クラスターに関連して初めて文書化されました。同クラスターは、中国系サイバー諜報グループ「Liminal Panda」との重複が見られるとされています。
このマルウェアのステルス性は、ソースコードやペイロードを難読化するために様々なレベルの暗号化を使用している点に由来します。また、その柔軟性により、設定に応じてネットワーク通信にTCPまたはHTTPを選択したり、ネットワークトラフィックの保護に平文またはAES暗号化を選択したりと、動的に異なる機能を有効化できます。
MystRodXは「ウェイクアップモード」と呼ばれる機能もサポートしており、特別に細工されたDNSまたはICMPネットワークパケットを受信した際にトリガーされるパッシブバックドアとして動作可能です。設定に記載されたアクティベーションタイムスタンプに基づき、このマルウェアは少なくとも2024年1月から存在している可能性が示唆されています。
「マジック値が検証されると、MystRodXは指定されたプロトコルを使ってC2(コマンド&コントロール)との通信を確立し、さらなるコマンドを待機します」とXLabの研究者は述べています。「SYNful Knockのような著名なステルスバックドアがコマンドを隠すためにTCPヘッダーフィールドを操作するのとは異なり、MystRodXはよりシンプルで効果的な手法を用いています。すなわち、ICMPパケットのペイロードやDNSクエリドメイン内にアクティベーション指示を直接隠すのです。」
このマルウェアは、現在のプロセスがデバッグ中か、仮想環境で実行されているかを判断するために、デバッガや仮想マシン関連のチェックを多数行うドロッパーによって配布されます。検証ステップが完了すると、次の段階のペイロードが復号されます。これには以下の3つのコンポーネントが含まれています。
- daytime:chargenを起動する役割を持つランチャー
- chargen:MystRodXバックドアのコンポーネント
- busybox
MystRodXは一度実行されると、daytimeプロセスを継続的に監視し、もし実行されていない場合は直ちに起動します。その設定情報はAESアルゴリズムで暗号化されており、C2サーバー、バックドアタイプ、メインおよびバックアップC2ポートに関する情報が含まれています。
「バックドアタイプが1に設定されている場合、MystRodXはパッシブバックドアモードに入り、アクティベーションメッセージを待機します」とXLabは述べています。「バックドアタイプの値が1でない場合、MystRodXはアクティブバックドアモードに入り、設定で指定されたC2と通信を確立し、受信したコマンドの実行を待機します。」
翻訳元: https://thehackernews.com/2025/09/researchers-warn-of-mystrodx-backdoor.html