TokyoBlackHatNews

meterpreter.org 4分で読了

蛇の影:「AnonDoor」を暴露—孔子シンジケートの新しいPython駆動型スパイウェア

孔子シンジケートは南アジア諸国を標的とするサイバースパイ活動を 継続している。新興キャンペーンはパキスタン内の組織を入念に標的としている。フォレンジック分析により、グループの兵器庫で従来見られなかった手段の配備が明らかになった:AnonDoorと名付けられたPythonベースのバックドア。この作戦は巧みに多段階ペイロード配信シーケンスを調整し、正当なサービスを悪用して密かに毒性コードを実行する。

侵入は圧縮ZIPアーカイブの配布から始まる。その中には、PDF文書に見せかけた2つの成果物が巧妙に隠されている。最初のファイルはGSR_Requirements.pdfと不正に名付けられたLNKショートカットであり、もう一つはSpecification.pdfという名前の隠されたMSBuildプロジェクトである。ユーザーがショートカットと対話すると、アーキテクチャはMSBuild.exeを呼び出し、その後秘密のXMLファイルを取得して埋め込みC言語コードをトリガーする。このスクリプトはリモートコマンドサーバとの通信を確立し、補助コンポーネントを搾取する。

ダウンロードされたペイロードはWindowsスケジュールされたタスクを作成し、C:\Windows\Tasksディレクトリ深くに多くのファイルを保管する。その中で目立つのはpythonw.exe—正当なPythonインタープリタであり、完璧な偽装として武装化されている。有毒な動的リンクライブラリpython310.dllは同じフォルダに同時に注入される。インタープリタが呼び出されると、システムは自動的にこの汚染されたDLLをサイドロードし、悪意のあるアーキテクチャを実行する。同時に、攻撃者はデコイPDF文書を配置して、被害者に単なる通常のファイルと対話したと信じさせるための見事な幻想を作成する。

このDLLは攻撃の二次的な坩堝として機能する。実行後、コンポーネントはサーバnexnxky.infoに接続し、数千のBase64エンコードされたファイルを含む巨大なデータアーカイブを抽出する。合計ボリュームは2,000を超える個別のオブジェクトを超える。この迷路のようなアプローチはフォレンジック分析を深く混乱させ、一見無害に見えるファイルの大量の中に真の悪意のあるモジュールを巧妙に隠蔽する。

この広大なアッセンブリから、ファイルpython2_pycache_.dllは身の毛もよだつような特別な名声で現れる。DLL拡張子にもかかわらず、本質的にコンパイルされた.pycPythonモジュールを含む。この特定のアーティファクトがAnonDoorバックドアを格納している。プログラムはシステムミューテックスを作成して冗長な実行を防止し、その後コマンド・アンド・コントロールサーバnexnxky.infoおよびupxvion.infoとの秘密の通信を構築する。これらのネットワーク要求は通常のWindowsブラウザトラフィックとして完璧に偽装されている。

成功した支配に続き、バックドアは補助プラグインを要求する。AnonDoorアーキテクチャは設計上非常にモジュール化されている。コマンドセンターには新しいコンポーネントを注入し、感染したホストの運用レパートリーを動的に拡張する権限が与えられている。その暴露された機能の中には、任意のシステムコマンドの実行、スクリーンショットの密かなキャプチャ、無制限のファイル列挙と流出、Mozilla FirefoxとMicrosoft Edgeからの認証情報の体系的な略奪が含まれている。

個別のモジュールは被害者のアーキテクチャに関する詳細なインテリジェンスを収集するために割り当てられている。流出したドシエには、正確なWindowsバージョン、マシンの名称、ユーザーのアイデンティティ、ローカルおよび外部IP座標、および地政学的国家テレメトリが含まれている。追加のモジュールはストレージアーキテクチャを厳密に監査し、包括的なディスクテレメトリをコマンドサーバに転送する。

攻撃インフラストラクチャとローダーのアーキテクチャの深刻な解剖は、このキャンペーンを孔子シンジケートに取り消し不能に結びつける。サイバーセキュリティ監視者はグループの以前の作戦の明らかな特徴を発掘した:LNKファイルの初期武装化、ペイロード配信を促進するための.infoトップレベルドメインへの嗜好、および著しく相似的なサーバアドレストポロジー。追加の裏付け要因は、キャンペーンのパキスタン企業への外科的焦点であり、これはシンジケートの歴史的な的と完璧に一致する軌跡である。

この観察されたキャンペーンは孔子兵器庫の恐ろしい進化を鮮烈に照らし出す。Pythonベースのバックドアとモジュール式アーキテクチャへの戦略的転向は、侵入の隠蔽性と柔軟性を指数関数的に高めるための協調的な取り組みを意味している。専門家の計算によれば、そのような高度な武装は地域全体の組織に対する今後の攻撃で積極的に配備される可能性が高い。

翻訳元: https://meterpreter.org/the-serpents-shadow-unmasking-anondoor-the-confucius-syndicates-new-python-powered-spyware/

ソース: meterpreter.org
#Anondoor #DLLサイドロード #Pythonマルウェア #サイバースパイ #スパイウェア #パキスタン #バックドア #多段階攻撃 #孔子シンジケート #認証情報盗聴

関連記事

Bitskrieg仮説:Secure BootとBitLockerバイパスという迫りくる脅威

制限解除の波紋:AnthropicがClaudeの緊急クォータ復元を実施

重大なセキュリティ欠陥、Apache LDAP APIの接続を危険にさらす