「CTRL」と名付けられた新興の悪質なスイートは、秘密の暗号化キーを含む無害なフォルダに見せかけますが、起動されると、ターゲットのコンピュータアーキテクチャを遠隔操作のための非常に快適なポータルに微妙に変換します。Censys ARCのサイバーセキュリティの専門家たちは、複雑な動力学的チェーンを綿密に記録しており、そこでは単一の悪質な結合体(LNKアーティファクトとして現れます)が瞬時に多くの有害な機能を解き放ちます:認証情報の流出、キーストロークの秘密のハーベスティング、リモートデスクトップ通信の横取り、および悪者の統主サーバと直接通信する地下通路の偽造です。
アンチウイルス&マルウェア
未封印のディレクトリ内で、法医学の最前線は、.NETフレームワークに基づいて鍛造された3つの実行可能なアーティファクトを発見しました。これらはシームレスに統合された単一の兵器庫として機能しています。レポート作成時点では、これらのサンプルはVirusTotal、Hybrid Analysis、およびサイバーの危険を詳述する他のすべての公開台帳から顕著に欠落していました。この欠落は、これまで記録されていない新しい道具の発見を深く示唆しており、まだ広く普及していないようです。
感染はPrivate Key #kfxm7p9q_yek.lnkと名付けられたアーティファクトによって触媒化されます。このショートカットは、正統的なフォルダを真似るために精巧に飾られています。その結果、ユーザーはなじみのあるディレクトリアイコンを認識し、潜むひどい裏切りについて完全に気づかないままかもしれません。このショートカットの奥深くに隠されているのは、苦しいほど複雑なPowerShellの命令で、複数のレベルの暗号化難読化に包まれています。起動時に、この命令は後続のモジュールを封解除し、悪質なペイロードをシステムレジストリに記入します。ありふれたWindows Explorerのパラメータに巧妙に偽装されており、揮発性メモリから直接悪質なアーキテクチャを実行します。この幽霊のような方法論は、多くの防御的歩哨を深く回避し、法医学的解剖をかなり混乱させます。
その後、CTRLは現在の特権領域を厳密に審問します。必要に応じて、ユーザーアカウント制御(UAC)を回避するためのよく記述されたパラダイムを通じて、昇格した主権を横取りするために絶えず努力します。領域を奪取した後、スイートは補足的なアーキテクチャコンポーネントを呼び出し、システム内の継続的で寄生的な存在を綿密に設計し、秘密のコマンド導管を封解除し、遠隔操作のための装置を綿密に手入れします。その足がかりを固めるため、それは標準的なタスクスケジューラを統制します。一方、その悪質なアーティファクトをレジストリと曖昧なディレクトリ内に保持します。悪者が既存の認証情報を通じた侵入を合理化しようとする試みが失敗した場合、このアーキテクチャは絶対的な行政の主権と遠隔デスクトッププロトコル(RDP)経由の制限のないアクセスを備えた幽霊のようなローカルユーザーを偽造する恐ろしい能力を持っています。
CTRLの最も奥深く陰険なモジュールの1つは、Windows Hello PIN認証の坩堝を巧妙に真似ています。この偽造されたインターフェースは壊滅的に説得力があります。ユーザーの真の命名法、彼らの統主プロフィール画像、現在のシステム美学的なテーマを完璧に同化させ、さらに正統的なシーケンスとほぼ区別がつかないアニメーションを統制します。同時に、悪質なアーキテクチャはAlt+TabやAlt+F4などのキーボード組み合わせを無慈悲に麻痺させ、ターゲットがインターフェースを急いで追放したり、補助的なアプリケーションにシフトできないようにします。渡されたPINは単にアーカイブされるだけではなく、プログラムは真の、システム的なWindowsリクエストを通じて瞬時に組み合わせを認証します。暗号が誤りであれば、インターフェースはエラーを表示し、後続の試行を懇願します。暗号が真正であれば、悪者は瞬時に検証された攻撃不可能な認証情報を与えられます。
コンピュータセキュリティ
このフィッシング詐欺以上に、CTRLはキーストロークに対する絶え間ない警戒を維持し、このテレメトリをC:\Temp\keylog.txtリポジトリ内にアーカイブします。遠隔操作を容易にするため、スイートはFRPアーキテクチャに基づいた逆トンネリングメカニズムを組み込んでいます。この地下通路を通じて、オペレータはRDP経由でターゲットマシンに直接アクセスし、コンソールの前に座っているかのように領域を操ることができます。さらに、プログラムはシステム設定とtermsrv.dllライブラリを変更することで、際限のない同時RDPセッションを有効にする嫌悪すべき能力を持っています。さらに、ブラウザ通知を偽造でき、この詭計は苦しめられたユーザーから新興の情報を絶え間なく強要するように設計されています。
本レポートの著者たちは、CTRLが手術的ストライクのために設計された、新興のカスタムメイド私有スイートの典型的な見本として機能していると仮定しています。このパラダイムでは、圧倒的な機能の洪水ではなく、深い隠密性と外来のアーキテクチャ内からの手動オーケストレーション の洗練された促進に最大の重点が置かれています。コマンド統主との簡単に解読可能なテレメトリ交換に依存する代わりに、オペレータはトンネルとRDPセッションの迷路の中に彼らの悪意を深く隠します。デジタル歩哨にとって、この方法論は深く恐ろしい苦難をもたらします。ネットワーク署名は苦痛なほど微かなままであり、破壊的な振り付けの大部分は直接包囲された装置自体に展開します。
