ロシア人ハッカーは、新しいリモートアクセスツール「CTRL」を使用して、FRPベースのリバーストンネルを介してリモートデスクトッププロトコル(RDP)セッションを静かにハイジャックし、侵害されたWindowsシステムへのステルスで直接的なアクセスを可能にしています。
このツールキットは、認証情報の盗難、キーロギング、およびRDPの悪用を、現在のところパブリックなマルウェアスキャナーと脅威フィードのレーダーの下を飛行している統一的な搾取後フレームワークに融合させます。
ドメインはPartner Hosting LTDのASN(AS215826)のインフラストラクチャでホストされており、2025年2月に設立された英国登録ネットワークで、サーバーはドイツのフランクフルトに位置しています。
分析時点では、FRPリレーは2つのIP(194.33.61[.]36と109.107.168[.]18)で観測され、ポート7000ではCensysが本来的にFRPSとして指紋認証するFRPサーバーが実行されていました。
Censys ARC研究者は、公開されたディレクトリをスキャンしながらCTRLを発見し、LNKアーティファクトから悪意のあるショートカットをhui228[.]ru上の公開ペイロードホスティングフォルダに遡った。
194.33.61[.]36のホストはSSHとHTTPも公開しており、OpenSSH 9.6p1サービスはCVE-2024-6387、CVE-2025-26465、およびCVE-2025-26466に対して脆弱なままで、オペレータによる貧弱なパッチ管理を示しています。
調査はCensysのLNKファイルのオープンディレクトリスキャンから開始し、別のサーバーでホストされたLNKファイルがペイロードダウンロード用にhui228[.]ruを参照していました。
CTRLに関連するバイナリまたはインフラストラクチャのいずれもVirusTotalまたは一般的なパブリック脅威インテリジェンスソースに表示されていないことは、限定的な操作で使用される私的に開発されたツールキットを示唆しています。
配信と実行チェーン
CTRLはカスタム.NETツールキットで、武装されたWindowsショートカットファイルを介して配布され、秘密鍵フォルダになりすましています。
LNKのメタデータタイムスタンプはゼロ化されており、「Polycue」という説明が含まれており、これは可能なプロジェクトコード名かもしれません。
「Private Key #kfxm7p9q_yek.lnk」という名前のLNKファイルは、フォルダアイコンとゼロ化されたタイムスタンプを使用して、通常の検査とタイムライン分析を回避しながら、大きなbase64ブロブとして複数層のPowerShellローダー全体を埋め込んでいます。
実行時に、ショートカットは非表示ウィンドウでPowerShellを起動し、メモリ内の.NETステージャーをデコードして解凍し、もっともらしいエクスプローラー関連のレジストリキーの下にバイナリ値として保存し、ディスク上のスタンドアロンPEファイルを回避します。
ステージャーはその後、fodhelperベースのUACバイパスを介して権限をエスカレートし、hui228[.]ru:7000への接続性チェックを実行し、暗号化されたペイロード読み込み、FRPトンネリング、およびRDP有効化を処理する3つの.NETコンポーネントをプルダウンします。
すべてのコアペイロードはレジストリバイナリとして永続化され、エンコードされたPowerShellを使用したスケジュール済みタスク経由で再読み込みされ、再起動全体のステルス性と耐性を強化します。
確立されると、CTRLは感染したホストを永続的なRDPプラットフォームに変え、従来のC2ビーコンではなくFRPトンネル経由でのみ制御されます。
メインのctrl.exeコンポーネントは、被害者に名前付きパイプ(ctrlPipe)を公開する「ctrl Management Platform」エージェントを復号化して実行し、キーログを読み取る、洗練されたWindows Helloスタイルのフィッシングウィンドウを起動する、アクティブなRDPセッションをシャドウ処理またはテイクオーバーする、およびデータ流出ワークフローをトリガーするコマンドを提供します。
コンパニオンFRPラッパーがGoベースのFRP v0.65.0 DLLを復号化してメモリにマップし、RDP(3389)およびポート5267上のrawTCPシェル用のリバーストンネルを確立し、「ADAD」という認証トークンを使用してhui228[.]に戻ります。
一方、RDPラッパーコンポーネントはtermsrv.dllにパッチを適用し、RDP Wrapperをインストールし、Defenderの除外を追加し、オペレータが同意プロンプトなしにユーザーデスクトップを静かにシャドウ処理またはハイジャックできるようにWindowsを無制限の同時RDPセッション用に構成します。
OPSECと検出ガイダンス
ツールキットの設計は強力なオペレータOPSECを示しています。バイナリに硬化されたC2アドレスは存在せず、hui228[.]ruとその認証トークンへの唯一の参照は、被害者のfrpc.tomlに実行時に書き込まれます。
.NETのAssembly.Load()はネイティブDLLをロードできないため、ラッパーにはユーザーモードメモリ内で完全に動作する完全な手動PEマッパー(DLLFromMemoryクラス)が含まれています。
すべてのオペレータインタラクションはFRPトンネルで運ばれるRDPセッション内で発生し、キーログまたは認証情報データはctrlPipeを介してローカルでアクセスされ、独特のネットワークシグネチャを最小化します。
ネットワーク側では、組織はポート7000を介して194.33.61[.]36と109.107.168[.]18への送信接続をブロックまたはアラートし、FRPSプロトコルフィンガープリントを監視し、194.33.61[.]36に関連するユニークなSSHホストキーフィンガープリントを追跡して、同じホスティングプロバイダ内での潜在的なインフラストラクチャローテーションをキャッチする必要があります。
防御者にとって、高価値ホストインジケータには、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\(ShellStateVersion1、IconSizeVersion1、IconUnderlineVersion1)の下に保存されるバイナリデータ、DriverSvcTask、NetTcpSvc、TermSvcHost、およびWindowsHealthMonitorという名前のスケジュール済みタスク、パスワード「ADAD」が設定された非表示のローカルアカウント、ctrlPipeという名前付きパイプ、およびC:\Temp\keylog.txtが含まれます。
翻訳元: https://gbhackers.com/ctrl-for-rdp-hijacking/
