脅威アクターは時々、運用セキュリティの誤りを犯して、作業環境全体を露出させます。
最近、Hunt.ioのサイバーセキュリティ研究者が、イラン系のステージングサーバ上のオープンディレクトリを発見しました。そこには包括的な15ノードリレーネットワーク、カスタムボットネットフレームワーク、および活発な分散型サービス妨害攻撃ツールが含まれていました。
このインフラストラクチャは、国家が支援するグループではなく、経済的または個人的な動機を持つ個人によって運用されており、悪質なネットワークアーキテクチャの開発と展開への貴重な洞察を提供しています。
AttackCapture機能を使用した定期的なスキャン中に、研究者はイランのサーバ上で公開されたファイルマネージャーを特定しました。
ディレクトリには449のファイルが含まれており、デプロイメントスクリプト、設定ファイル、およびbashコマンド履歴が入っていました。サーバに関連付けられた単一の共有TLS証明書を分析することで、調査員はより大きな15ノードリレーネットワークをピボットしてマッピングすることができました。
これらのサーバのうち7つはフィンランドのHetznerでホストされていましたが、その他はイランのインターネットサービスプロバイダーに登録されていました。
ネットワークは、地域的インターネットフィルタリングをバイパスするために設計されたトンネリングツール「Paqet」と、3x-uiプロキシ管理パネルを使用していました。これはオペレータが商用検閲回避サービスを実行していた可能性があることを示唆しています。
公開されたbash履歴は、3つの異なるフェーズにわたる攻撃者の操作の明確なタイムラインを提供しました。
まず、オペレータはリレートンネルをデプロイしました。次に、ゲームサーバーを含む特定のターゲットに対するカスタム分散型サービス妨害ツールの構築とテストに移りました。最後に、永続的なボットネットフレームワークを開発しました。
このデプロイメントは、ohhhh.pyというPythonスクリプトに依存していました。このスクリプトは、侵害された認証情報のリストを使用して数百の同時SSHセッションを開きました。
接続されると、スクリプトはGCCコンパイラを使用して、被害者マシン上で直接悪質なCベースのボットクライアントをコンパイルし、基本的な検出を回避するために最終実行ファイルの名前を変更しました。
別のスクリプト「yse.py」は、必要に応じて感染したホスト全体で悪質なプロセスを終了するためのキルスイッチとして機能しました。
いくつかの技術的な手がかりは、イランに拠点を置くか、この地域に非常に精通したオペレータを指しています。インフラストラクチャはイランのインターネットサービスプロバイダーとArvanCloudドメインルーティングに依存していました。
さらに、回復されたPythonスクリプトはファルシア語で書かれたインラインコードコメントを含み、コマンドログのキーボード入力エラーはアラビア文字を生成しました。
hunt.ioカスタムボットネットクライアントは、単にバージョン1.0として識別され、感染したボットがオフラインになった場合でもコマンドサーバーに到達しようとし続けることを保証するハードコードされた再接続指示を含みました。
ターゲット選択が地政学的な動機を欠いており、カスタムツールはまだ初期段階の開発にあるため、研究者はこれが国家が支援する高度な永続的脅威ではなく、独立したオペレータであると評価しています。
セキュリティチームは、関連する悪意のあるアクティビティを検出およびブロックするために、これらの特定の侵害の兆候についてネットワークを監視することをお勧めします。
翻訳元: https://cyberpress.org/iran-botnet-relay-exposed/