GhostSocksとして知られている新興マルウェアは、侵害されたシステムを住宅用プロキシノードに変換することで、攻撃者がどのように検出を回避するかを静かに再構築しています。
現代のサイバー攻撃は、通常のネットワークトラフィックに溶け込むことに大きく依存しています。住宅用プロキシを使用すると、攻撃者は悪意のある活動を正当なホームIPアドレスを通じてルーティングでき、トラフィックが疑わしいインフラストラクチャではなく通常のユーザーから発信されているかのように見せかけることができます。
このアプローチにより、従来のIPベースの検出システム、地理的制限、異常検出ツールを回避することができます。
Darktrace のセキュリティ研究者は、その使用の着実な増加を観察しており、特に Lumma Stealer と共に使用されており、ステルス駆動型の攻撃インフラストラクチャと長期的な持続へのより広い転換を浮き彫りにしています。
その結果、住宅用プロキシサービスはサイバー犯罪グループだけでなく、より高度で国家に関連した脅威アクターにとっても不可欠になりました。GhostSocks は、感染したデバイスをこのプロキシエコシステムの一部に変えることで、この分野の重要な実現者として台頭しました。
GhostSocks とは何か?
GhostSocks は、ロシアのアンダーグラウンドフォーラム xss[.] でマルウェア・アズ・ア・サービス(MaaS)オファリングとして最初に登場しました。これにより、攻撃者は被害者デバイスを乗っ取り、インターネット帯域幅を使用して悪意のあるトラフィックをリレーできます。
GoLang で記述されたこのマルウェアは、侵害されたシステムでSOCKS5 プロキシ接続を確立します。これはリレーベースのコマンド・アンド・コントロール(C2)アーキテクチャを使用しており、仲介者サーバーが攻撃者と侵害されたデバイスの間に位置しています。
広く使用されている情報盗取マルウェアである Lumma Stealer との統合後、2024年にその採用が急増しました。このパートナーシップは GhostSocks のリーチと運用上の使用を大幅に拡大しました。
Darktrace の Cyber AI Analyst は、これらのイベントを単一の攻撃チェーンに関連付け、最初の疑わしい接続、マルウェアのダウンロード、その後のビーコン活動をリンクしました。
GhostSocks はステルスのために設計されています。SOCKS5 通信を TLS 暗号化でラップすることで、悪意のあるトラフィックが正当な暗号化ネットワーク活動に溶け込むことができます。
以前のバリアントは持続性が不足していましたが、新しいバージョンはレジストリラン キーを使用してシステム再起動後もアクセスを維持します。
プロキシ機能に加えて、GhostSocks はバックドアとしても機能し、攻撃者がコマンドを実行し追加のペイロードをデプロイすることを可能にします。
この機能は Black Basta などのランサムウェアグループを引き付けており、侵害されたネットワーク内で長期的なアクセスを維持するために GhostSocks を使用したと報告されています。
Darktrace 検出インサイト
Darktrace は、2025年後半から始まる複数の環境での増加する GhostSocks アクティビティを特定しました。
教育機関が関わった 2025年 12月のある事件では、攻撃は Lumma Stealer インフラストラクチャに関連する疑わしいエンドポイント(159.89.46[.]92、retreaw[.]click)に接続するデバイスから始まりました。
数分以内に、デバイスは 86.54.24[.]29 から「Renewable.exe」という珍しい実行ファイルをダウンロードしました。このファイルは後に複数のインテリジェンス情報源により GhostSocks に関連していることが確認されました。
Darktrace の自動対応システムはアクティビティにフラグを立て、接続をブロックすることを推奨しましたが、軽減には手動承認が必要でした。この遅延により攻撃が進行することを許しました。
その後数日間で、侵害されたデバイスは www.lbfs[.]site やスパムの CloudFront URL などのドメインから追加のペイロードをダウンロードしました。
これらのダウンロードには複数の疑わしい実行ファイルが含まれており、初期感染を超えたより広いペイロード配展を示しています。
その直後、デバイスは珍しい外部エンドポイントへの繰り返しの発信接続を開始し、初期段階の C2 ビーコニングと一致する動作を示しました。
リアルタイムでパターンを分析することにより、侵害の包括的なビューを提供し、より迅速な調査と対応を可能にしました。
Lumma Stealer と共にの継続的な使用は、攻撃者インフラストラクチャの一部が破壊されても、脅威アクターが迅速に再構築して適応できることを示しています。
プラットフォームはまた、デバイスの動作を通常のアクティビティに制限する「生活パターン」モデルを実施することを推奨し、運用を完全に中断することなく脅威を封じ込めるのに役立ちます。
GhostSocks は、攻撃者がどのように侵害されたシステムの価値を最大化しているかを実証しています。被害者を住宅用プロキシノードに変えることで、彼らは匿名性、持続性、および将来の攻撃のためのスケーラブルなインフラストラクチャを得ます。
住宅用プロキシの乱用が増加するにつれ、組織は従来のインジケータのみに依存するのではなく、微妙な行動異常を検出するためにより積極的で AI 駆動型の防御が必要になります。
翻訳元: https://gbhackers.com/ghostsocks-hijacks-devices/
