2025年12月9日、Rubrik Zero Labsの高度な分析システムは新興の脅威をラボに警告しました。驚いたことに、これらの脅威のメカニズムは相当複雑で新型でした。さらなる検証の後、私たちはAPT41に属する可能性が高いLinuxサンプル、およびGhostPenguinマルウェア、ならびにWSL機能をマクロ内で使用して悪意のあるコードを実行する「Chameleon C2」という興味深いサンプルを特定しました。
マルウェアサンプル
APT41/Winnti Group RAT
ハッシュ: 3752f069d7e54d83f64519f2ad8f9d59224387c50f57f0666b0c5956af40cfb6
VirusTotal検出数: 1(記事執筆時点)
初見: 2025-09-25
- マルウェアファミリ: コード/変数の類似性に基づいてWinnti(Linuxバリアント)の可能性が高い
- マルウェアタイプ: リモートアクセストロイの木馬(RAT)/ バックドア
概要
PTYベースのシェル実行、ファイル転送、プロセス操作、システム偵察を含む包括的なリモートアクセス機能を備えたLinux 64ビットRAT/バックドア。C2通信にカスタムRC4暗号化を使用し、ミューテックスベースの同期を備えたマルチスレッドアーキテクチャを実装しています。8.8.8.8およびgoogle.comへのハードコードされた接続テスト。
分析
このサンプルは64ビットELF共有ライブラリとして実装された専門的に開発されたLinux RATです。マルウェアは標準的ですが十分に実装されたRAT機能を示しています。
コア機能
バックドアはRC4暗号化(rc4_crypt_allinone)を備えたカスタムC2プロトコルを通じて包括的なリモートコントロールを提供します。セッションベースの認証(auth_request/auth_response)を実装し、ミューテックス同期(resource_mutex)を備えたマルチスレッドパケット処理(recv_thread、sendpkt、recvpkt)を使用しています。
リモートアクセスメカニズム
forkPtyを通じてPTYベースのシェルアクセスを提供し、posix_openpt、grantpt、unlockpt、ptsname を使用して疑似端末を割り当てます。これにより、ターミナルサイズ操作(change_term_size、get_term_size)と適切なシグナル処理(sig_child、vhangup)を備えたインタラクティブなシェルセッションを提供します。
コマンドディスパッチャー(main_proc)
main_proc関数は、Command & Control(C2)サーバーからの整数ベースのコマンドを待つループに位置しています。
ネットワークインフラストラクチャ
ハードコードされた8.8.8.8(Google DNS)とgoogle.comドメインへの接続テストは、インフラストラクチャ検証を示唆しています。カスタムソケット操作(connectex、sendex、recvex、waitex、closeex)は標準ネットワーク関数をラップします。
GHOSTPENGUIN RAT
ハッシュ: 7b75ce1d60d3c38d7eb63627e4d3a8c7e6a0f8f65c70d0b0cc4756aab98e9ab7
VirusTotal検出数: 2(記事執筆時点)
初見: 2025-07-07
抽出されたコードの分析(RZL高度な分析システム)
- マルウェアファミリ: GHOSTPENGUIN
- マルウェアタイプ: バックドア/RAT
概要
GHOSTPENGUINはRC5暗号化を備えたUDPベースのC2を使用するカスタムLinuxバックドアで、リモートシェル、包括的なファイル/ディレクトリ操作、システム偵察、およびcrontab永続性を提供します。
分析
GHOSTPENGUINはRC5暗号化を備えたカスタムUDPベースのコマンドアンドコントロールプロトコルを実装するLinuxバックドアです。マルウェアは、マルチスレッドアーキテクチャ、パケット再送信/確認応答システム、および包括的なリモート管理機能を備えた堅牢なエンジニアリングを示しています。
アーキテクチャ
マルウェアは6つのメインスレッド(セッションネゴシエーション、データレシーバー、自己登録、ハートビート、データセンダー、シェル出力リーダー)を使用しています。スレッド同期はpthread mutexを介して管理されます。
暗号化とC2プロトコル
RC5暗号化: マルウェアはCMyRC5クラスを使用してネットワークトラフィックを暗号化します。標準的なRC5定数(0xb7e15163および0x9e3779b9)を利用してサブキーを生成します。
UDPビーコニング: TCPやHTTPを使用する多くのRATとは異なり、このマルウェアはUDP(socket(2,2,0))に依存しています。Session IDをリクエストすることでハンドシェイクを開始し(ThreadProcGetSessionIDFromServer)、その後ハートビート(ThreadProcHeartBeat)を維持します。
永続性メカニズム
Cronジョブ: ImpPresistence関数は現在のユーザーのcrontabを書き直すことで永続性を実現します。マルウェア(g_szCurrentProcessNameで参照)がスケジュールに従って実行され、システムの再起動に耐えることを保証するコマンドを構築します。
リモートシェル実装
パイプベースのシェル: RShellRun関数はpipe()とdup2()を使用してリバースシェルを作成します。子プロセスをフォークし、stdin、stdout、stderrをパイプにリダイレクトして、/bin/shを実行します。これにより、C2サーバーはシェルコマンドを送信し、リアルタイムで出力を受け取ることができます。
抽出されたコードの分析(RZL高度な分析システム)
ハッシュ: 1be5278db096e47426a1efa3283eee25176b8b7ace9133a59dd11a8908326d78、72e944751fd4c1cd71dfe48a5b6cc3c76a67832381ac59e6be0932c4bc8ac933、c309e08259e0499af154273f71003ea31b048ceaa19e0351db62065ae77279c2
VirusTotal検出数: 26(記事執筆時点)
初見: 2025-12-08
概要
革新的なWSLベースのCommand & Controlエージェントをデプロイする高度なExcelマルドック(VBAマクロ)。Windows Subsystem for Linuxの可用性をチェックし、bashスクリプト(c2beacon.sh)とPowerShellランチャーをドロップして、192.168.23.51:8443との永続的なHTTPベースのC2通信を確立します(マルウェアはテスト中の可能性があります)。機能には30秒ビーコン、リモートコマンド実行、Windows-to-WSLパス変換、およびPowerShellを介した隠蔽実行が含まれます。
この分析は、WSLをステルスC2チャネルとして体系的に悪用する最初に文書化されたマルウェアを表しています。
分析
「Chameleon C2」というブランド名のWindows Subsystem for Linux(WSL)ベースのCommand & Controlエージェント用のドロッパーとして機能するVBAマクロを含むカスタム開発された悪意のあるExcelドキュメント。このサンプルは、WSLを実行環境として活用することにより、マルウェア配信と永続性への新しいアプローチを表しています。
感染チェーン
1. 初期実行: 複数の自動実行マクロトリガー(AutoOpen、Workbook_Open、Auto_Open、Document_Open)により、ドキュメント開成時にコードが実行されることが保証されます
2. 環境検出: auuazonz()関数は%SystemRoot%\System32\wsl.exeの存在を確認し、「wsl echo test」で機能性をテストすることにより、WSLがインストールされているかどうかを確認します
3. ペイロード配備: WSLが利用可能な場合、gxlpziyl()関数はC2エージェントをデプロイします
4. Bashスクリプト作成: C2機能を備えたc2beacon.shをtempディレクトリに書き込みます
5. PowerShellランチャー: WSLを介して非表示ウィンドウでbashスクリプトを実行するためのwsl_launcher.ps1を作成します
6. 永続的なC2: Bashスクリプトは無期限に実行され、30秒ごとにビーコンを送信し、コマンドを実行します
技術的精巧性
マルウェアはいくつかの高度な機能を示しています:
- クロスプラットフォームアーキテクチャ: Windows環境とLinux環境を橋渡しし、初期侵害にはWindowsを使用しますが、実行と永続性にはLinux/WSLを使用します
- パス変換ロジック: インテリジェントなWindows-to-WSLパス変換(C:\から/mnt/c/)を実装し、環境間でのシームレスなファイルシステムアクセスを可能にします
- プロフェッショナルC2プロトコル: agent_id、hostname、username、OS情報、タイムスタンプ、コマンド結果を含む構造化データを備えたJSONベースのHTTP POSTリクエストを使用します
- コマンド実行フレームワーク: C2サーバーからコマンドを取得し、bashで実行し、出力をキャプチャ(最大50KB)し、結果を流出させます
- 難読化技術: Chr()連結、変数名難読化(auuazonz、gxlpziyl、vqmhcjbr)、文字列構築を多用して静的検出を回避します
- 検出対策: WSL環境内で実行され、従来のWindows EDRの可視性が制限される場合があります
- 適切なエラーハンドリング: 実行失敗を防ぐために全体を通じて「On Error Resume Next」を使用します
- 行終端変換: WSL sedコマンドを使用してWindows CRLFをUnix LF行終端に修正します
C2機能
ドロップされたbashスクリプトは以下を実装しています:
- UUIDベースのエージェント識別
- システム情報収集(hostname、username、OS)
- 永続的なビーコニング(http://192.168.23.51:8443/api/beacon)
- Python3によるJSONパース経由のコマンド取得
- 出力キャプチャを備えた動的コマンド実行
- /api/resultエンドポイントへの結果流出
- 出力サニタイゼーション(エスケープシーケンス、50KBへのトランケーション)
回避メカニズム
- 隠蔽ウィンドウ実行(-WindowStyle Hidden)
- PowerShell実行ポリシーバイパス
- WSL実行スペース(潜在的なEDRブラインドスポット)
- 初回起動後の疑わしいWindowsプロセス動作なし
- Bashスクリプトは正当なWSLアクティビティとして表示されます
ターゲティング
開発者ワークステーションまたはWSLが正当な開発目的でよくインストールされている最新のエンタープライズ環境をターゲットとする可能性があります。コメント内のアラビア語のタイムスタンプは、中東での開発またはターゲティングの可能性を示唆しています。
革新
Office macrosからのC2実行環境としてWSLを体系的に悪用する最初の公開文書化されたマルウェアであると理解しています。WSLの悪用は理論化されていますが、これはプロダクション品質のコードを備えた実用的な実装を表しています。この技術は、セキュリティツールがWSLプロセスへの可視性を低減される可能性があるWindows とWSL間の信頼境界を悪用します。
結論
サイバー防御の状況は重要な岐路に立っています。攻撃者が高度なAIを活用して複雑で高度に回避的な攻撃シナリオを開始し始めると、優位性が移動しているように見えます。しかし、このレポートで詳述された発見によって示されているように、強力な対抗応答が現れています。
特にLLMテクノロジーで増強されたシステムを含む、私たちの高度な分析システムは、マシンスピードで脅威に対応し、中和するのに役立ちます。PTYベースのシェルを備えたAPT41/Winnti Linux RAT、ステルス性の高いUDPベースのGhostPenguin、およびWindows Subsystem for Linux(WSL)を秘密のC2チャネルとして体系的に悪用する革新的なChameleon C2の発見は、システムの有効性を示しています。
これらは単純な脅威ではありません。従来のセキュリティレイヤーをバイパスするために設計された専門的に設計された複雑な攻撃です。Chameleon C2のクロスプラットフォームアーキテクチャとLinux RATのカスタムC2プロトコルを迅速に識別するプラットフォームの能力は、LLM駆動分析の力への直接的な証拠です。このテクノロジーにより、私たちは現在の実践を超え、コードロジックと動作パターンを大規模に分析することができ、マシンスピードで動作して、野生で出現する最も革新的な脅威を発見、分析、対応することができます。
