Go言語ベースのリモート管理ツールであるVshellは、脅威行為者の間でますます人気が高まるにつれて、サイバーセキュリティ研究者の間で注目を集めています。
もともと悪意のないリモート管理プラットフォームとして販売されていたVshellは、ネットワークピボティングとプロキシなど、強力な侵害後の機能を提供しています。
しかし、公開されているプロジェクト資料と実世界の調査により、現在は不正な侵入に使用されていることが示されています。
本質的に、VshellはWindows およびLinuxシステムを管理するための完全なコマンド・アンド・コントロール(C2)フレームワークとして機能します。
Cobalt Strikeと同様のアーキテクチャに従い、複数のリモートクライアントを管理する中央のコントローラー(チームサーバーと呼ばれることもあります)を備えています。
このツールにより、オペレーターはコマンドを実行したり、ファイルを転送したり、トラフィックをトンネリングしたり、侵害されたネットワーク内でラテラルムーブメントを実行することができます。
2021年に最初にリリースされたVshellの初期バージョンは、プロジェクトをリモートアクセスツール(RAT)として説明していました。時間が経つにつれて、後のバージョンは商用レッドチームフレームワークへのより簡単な代替手段としてリブランドしました。
実際のところ、あるリリースのキャッチコピーでは、Cobalt Strikeを使いにくいと感じたユーザーがVshellを試してみることを明確に提案していました。
このツールは、研究者、レッドチーム、そしてますますサイバー犯罪グループによって使用される中国語圏の攻撃的セキュリティコミュニティで特に一般的です。
2022年以来、VshellはオープンソースプロキシツールNPSに基づいてコードの一部をリベースし、トンネリングとネットワークピボティング機能を拡張しました。
開発はいくつかのバージョンを経て進化し、v4ではライセンス変更、インターフェース設計の変更、追加の通信プロトコルが導入されました。公式リリースは2024年に終了したと報告されており、非公開開発の可能性を示唆しています。
Vshellは2025年のいくつかの実世界のキャンペーンに関連していることが判明しており、Operation DRAGONCLONEおよびUNC5174に属するとされるSNOWLIGHTキャンペーンが含まれます。セキュリティ企業Trellixはまた、ファイルレスVShell感染を配信するフィッシングキャンペーンを報告しました。
Vshellは複数の「リスナー」をサポートしており、これらは感染したホストからのインバウンド接続を受け入れるサービスです。これらのリスナーは一般的にTCPポート8084がデフォルトですが、プラットフォームはさまざまなプロトコルをサポートしています。
オプションには、TCP、KCP/UDP、WebSocket、DNS、DNS-over-HTTPS(DoH)、DNS-over-TLS(DoT)、さらにはAmazon S3などのオブジェクトストレージサービスが含まれます。この柔軟性により、攻撃者は悪意のあるトラフィックを正当なネットワークアクティビティに混ぜることができます。
Censysからのインターネットスキャンデータは、公開されているVshellパネルが定期的にオンラインに現れ、時には数百の接続されたクライアントを明らかにすることを示しています。
回復された1つの例では、パネルに286個の接続されたエージェントが表示され、各エージェントはラテラルムーブメントまたはプロキシトラフィックのリレーとして機能することができます。
セキュリティ専門家は、Vshellがより広い傾向を反映していることを警告しています。つまり、デュアルユースのレッドチームフレームワークはますます実世界の攻撃に転用されています。
攻撃者がCobalt Strikeのような厳しく監視されているツールから遠ざかるにつれて、Vshellのような代替手段が急速にギャップを埋め、世界中の防御者に新たな課題をもたらしています。
翻訳元: https://cyberpress.org/vshell-gains-threat-popularity/