悪名高い高度な持続的脅威(APT)グループであるAPT-C-13として知られ、SandwormまたはAPT44として広く認識されているグループが、防衛、重要インフラ、および政府機関に対して高度なサイバースパイ活動を展開しています。
歴史的に重要インフラに対する積極的で破壊的な攻撃とワイパーマルウェアで知られているこのグループは、最近その作戦戦略をシフトさせています。2024年から2026年の間に、Sandwormは長期的なネットワークの永続性と深い情報収集へと移行しました。
これを達成するために、攻撃者はファイアウォールを回避し、リモートデスクトッププロトコル(RDP)サーバーを乗っ取り、隠れた制御チャネルを確立するために、反復的でモジュール化されたマルウェアフレームワークを配置しています。
攻撃チェーンは、Microsoft Officeの海賊版を装った悪意のあるISOファイル(Microsoft.Office.2025×64.v2025.iso)から始まります。
ウクライナのソフトウェアクラッキングコミュニティのTelegramチャネルを通じて主に配布されるこのISOには、setup.exeを装ったトロイの木馬化された実行可能ファイルが含まれています。ユーザーがソフトウェアのインストールを試みると、隠されたマルウェアが第1段階のペイロードをドロップします。
ここから、Sandwormはタンブル、カランブル、スンブルとして知られるカスタムバックドアモジュールの一連をデプロイします。タンブルモジュールは、正規のWindows診断インフラストラクチャ(WDI)プロセスを装ったスケジュール済みタスクを作成することで、ステルス的な永続性を確立します。
その主な機能は、従来のファイアウォール制限を回避する暗号化されたSSHリバーストンネルを構築することです。
このトンネルは、攻撃者が被害者の内部RDPサービス(ポート3389)を外部のコマンドアンドコントロール(C2)サーバーに直接マッピングでき、完全なリモートデスクトップアクセスを付与します。
これらのバックドアが検出されないようにするために、Sandwormはオペレーティングシステムの信頼アーキテクチャを操作するために、DemiMurと呼ばれる特殊なモジュールを使用します。
DemiMurは、偽造されたルート証明書(DemiMurCA.crt)をローカルマシンの信頼された証明書ストアに強制的にインポートします。
これにより、攻撃者は悪意のあるスクリプトとペイロードに署名することができ、Windowsオペレーティングシステムをトリックしてそれらを信頼させ、標準的なセキュリティチェックをバイパスします。
さらに、マルウェアは被害者のエンドポイント保護を積極的に低下させます。ネイティブPowerShellコマンドを使用してWindows Defenderの設定を変更し、Cドライブ全体、一時フォルダ、重要なPowerShellパスをアンチウイルス除外リストに追加します。
セキュリティソフトウェアを本質的に無効にすることで、Sandwormはリアルタイムアラートをトリガーすることなくバイナリを実行するための安全な環境を作成します。
攻撃者はまた、フォレンジックス対策への強い焦点を示しています。すべてのモジュール全体で、マルウェアは頻繁にメモリ内実行、積極的な自己削除スクリプト、および一時ファイルとログを消去するための慎重にタイミングされたクリーンアップ機能を使用します。
彼らのC2インフラストラクチャはモッキング、セマンティックドメイン名(ペイロード配信用のdontgivefuck.comやSSHトンネリング用のdontgivedamn.comなど)を使用し、クローズドループの攻撃アーキテクチャを形成しています。
このキャンペーンは、高度にステルス化された知能主導の脅威アクターへのSandwormの進化を強調しています。
Tor、OpenSSH、およびWeixinのWindowsスケジュールタスクなどの正当なツールを武器化することで、グループは高価値ネットワーク内に長期的な寄生的な存在を確立します。
組織は、異常なSSHおよびRDP接続の内部ネットワークトラフィックを密接に監視し、スケジュール済みタスクを監査し、未確認のソフトウェアの実行を厳格に制御することをお勧めします。
翻訳元: https://cyberpress.org/rdp-servers-exploited-for-malware/