イランのサーバ上の設定不正なオープンディレクトリが、稼働中の検閲回避リレーとSSHベースのボットネット操作を露出させ、単一の行為者がどのようにして市販のツールと杜撰な運用セキュリティを使ってイランとフィンランド全体に15ノードのネットワークを構築したかを明らかにした。
この発見は、財的にまたは個人的に動機付けられた行為者がイランのAPT基盤で見られるトレードクラフトを再利用できる方法を示しており、国家に整合した勢力の精巧さやターゲティングには及ばない。
Hunt.ioの研究者は、AttackCapture機能を使用してイランの露出したサーバを日常的にレビューしている際に本操作を発見し、オープンディレクトリにインデックスを付けてマルウェア、スクリプト、ログを分析用にタグ付けした。
イランのISP Dade Samane Fanava Company (PJS)がホストしている185.221.239[.]162上の1つのディレクトリには、.bash_historyファイル、MHDDOSインストーラ、複数のCベースのフラッドツール、ボットネットコンポーネントなど、59のサブディレクトリにわたって449個のファイルが含まれていた。
TLS証明書履歴が重要なピボットを提供した:*.server21[.]org用の単一のLet’s Encrypt証明書(SHA-256: BA318B710978C277A1AD6F2DE81D7D2402607036D0C0E777EC75BC6B6E428974)が2月14日に観察され、その後14個の追加IPで発見された。
これらのIPのうち7つはフィンランドのHetznerでホストされ、7つはイランのISPでホストされており、偶発的な証明書の再利用ではなく目的で構築されたリレーメッシュを強く示唆している。
HuntSQLピボットがワイルドカードドメイン上で実行され、OVHがホストする212.74.39[.]128(robot5.server21[.]org)のノードを含むさらに関連するインフラストラクチャを表出させ、オペレーターがHetznerとローカルISP以外のエグレスポイントを分散させていることを示唆している。
検閲回避がDDoS運用と融合
露出したオープンディレクトリ内のconfig-client.yamlファイルがKCPベースのPaquetトンネルクライアントについて説明していた。185.221.239[.]162がイングレスとして機能し、ポート8443と2053でのトラフィックをHetznerノード(65.109.187[.]102)に転送し、制御トラフィックはポート9999で動作していた。
Paquetそのものは、イラン国家フィルタリングを回避するためにペルシャ語コミュニティで一般的に使用される、オープンソースのロウソケットKCPトンネルであり、「kharej」(外部)サーバおよびイラン側クライアント構成をサポートしている。
外部からは、このノードはVPNリレーのように見えたが、オープンディレクトリはそれがMHDDOS、カスタムSYN/UDPフラッドツール、およびボットネットソースファイルもホストしていることを示した。
復旧されたbash履歴により、研究者は3つの活動フェーズを再構成することができた:初期トンネル展開、DDoSツール、およびボットネット構築。
初期コマンドは繰り返されるPaquet、GREフォワーダー、rathole-tunnel、および3x-ui展開を示しており、複数ユーザーに露出した商用検閲回避サービスと一致している。
後のエントリは、Cベースのフラッドツール(syn.cおよびflood.cなど)の編集およびチューニング、ならびにFiveM GTAサーバ(5.42.223[.]60:30120)およびWebホスト(194.147.222[.]151のポート80/443)を含むターゲットに対するMHDDOS実行をキャプチャした。
server21ドメインのWHOIS記録をレビューしたところ、2023年に登録されたことが明らかになった。ネームサーバはarvancdn[.]ir(イランのCDNおよびクラウドプロバイダー)を通じて解決する。
デプロイメントスクリプトohhhh.pyは、host:port|username|passwordの認証リストを読み込み、500の並行SSHセッションを開き、cnc.cをアップロードして各被害ホストで-pthreadでgccコンパイルし、永続性のために分離されたスクリーンで起動する。
別のスクリプトyse.pyは、感染ホスト全体でpkill -9 screenを発行することでキルスイッチとして機能し、急速な停止またはペイロード更新を可能にする。
cnc.cソースは復旧されなかったが、コンパイル済みバイナリの文字列は「BOT CLIENT v1.0」として識別され、「UnknownBOT ONLINE」というラベルの付いたビーコンを使用して各新しい被害者をC2に登録し、IP、ホスト名、およびプロセスIDを一緒に記録する。
ATTACK_RUNNING、ATTACK_STOPPED、PINGSTATUS、および「Total packets: %llu」などの追加の文字列はフラッドに焦点を当てた設計を確認し、「[!] Disconnecting from CNC. Reconnecting in %d seconds」は組み込みの再接続ロジックを示唆している。
ボットは自動的に再接続を試みるため、C2またはステージングサーバが削除された場合でも、感染ホストは独立して侵害されたものとして扱われなければならない。
帰属シグナルと防御者の重要なポイント
複数のシグナルがイランベースのオペレーターを指す:イランのISPホスティング、server21[.]orgを通じて処理されるDNS、ファルシインラインコメント、およびイランの検閲条件に合わせたPaquet「kharej」構成の明示的な使用。
最終段階は反復的なボットネット開発と自動化を明らかにした。Pythonスクリプトはoh.pyからohhhh.pyに進化し、bot.cおよびcnc.cが本体ホスト上で繰り返しコンパイルされ、bot、bott、およびsssという名前のスクリーンセッションで起動した。
しかし、ゲームサーバとジェネリックウェブインフラストラクチャへの機会主義的なターゲティング、比較的単純なツール、および初期段階の開発版は、国家主導型APTではなく利益または個人的な動機のある行為者を示唆している。
防御者はサーバ上での異常なgcc使用、「hex」などの無実な名前で実行されるバイナリを実行している異常なスクリーンセッション、および同一のホストを発信元とする高同時性SSHアクティビティを監視する必要がある。
ネットワークチームはPaquetスタイルのKCPトンネルをUDP上で監視する必要がある。特に、国内IPが*.server21[.]org証明書に関連付けられた既知のHetznerまたはOVHノードにトラフィックを転送する場所。
強力なSSHハイジーン(キーベース認証、パスワードログイン無効化、レート制限)を、大量SSH試行の検出およびオペレーショナルファイルを露出させるオープンディレクトリと組み合わせることで、同様のイラン関連ボットネットフレームワークへの露出を大幅に削減できる。
侵害の指標
| IPアドレス | 詳細 |
|---|---|
| 185.221.239[.]162 | AttackCaptureのオープンディレクトリ |
| 65.109.187[.]102 | 共有TLS証明書 |
| 65.109.184[.]58 | 共有TLS証明書 |
| 65.109.196[.]138 | 共有TLS証明書 |
| 65.109.204[.]0 | 共有TLS証明書 |
| 65.109.209[.]147 | 共有TLS証明書 |
| 65.109.213[.]131 | 共有TLS証明書 |
| 65.109.214[.]203 | 共有TLS証明書 |
| 185.221.239[.]84 | 共有TLS証明書 |
| 185.221.239[.]121 | 共有TLS証明書 |
| 185.221.239[.]160 | 共有TLS証明書 |
| 185.221.239[.]188 | 共有TLS証明書 |
| 185.236.38[.]79 | 共有TLS証明書 |
| 185.236.38[.]81 | 共有TLS証明書 |
| 194.147.222[.]183 | 共有TLS証明書 |
| 212.74.39[.]128 | 共有TLS証明書 |
翻訳元: https://gbhackers.com/iran-linked-botnet/
