今日の脅威環境では、通常のネットワークアクティビティに溶け込むことはサイバー犯罪者にとって重要です。脅威アクターはIP検出ツールと地理的制限をバイパスするために、ますます住宅用プロキシに依存しています。
この変化を推進する顕著な脅威の1つはGhostSocksであり、侵害されたデバイスを静かに住宅用プロキシノードに変換するマルウェアです。
もともとロシアのアンダーグラウンドフォーラムでMalware-as-a-Serviceとして販売されていたGhostSocksは、攻撃者に「クリーン」な家庭用IPアドレスを提供します。GoLangで書かれたこのマルウェアは、感染したマシン上にSOCKS5プロキシ接続を確立します。
ネットワーク異常検出を回避するために、GhostSocksはそのプロキシトンネルをTLSでラップし、悪意のある通信を標準的なウェブトラフィックのように見せかけます。
また、リレーベースのコマンドアンドコントロール(C2)アーキテクチャを使用し、被害者と攻撃者の真の基盤の間に仲介サーバーを配置しています。
このマルウェアはLumma Stealer操作とのパートナーシップに続く2024年に広範な採用を経験しました。初期バージョンは永続性に欠けていましたが、最近のバリアントはレジストリ実行キーを利用して継続的なプロキシ可用性を確保しています。
GhostSocksはまたバックドアとして機能し、脅威アクターに任意のコマンド実行と二次ペイロードの展開を許可します。Black Bastaを含むランサムウェア操作は、この機能を利用して被害者ネットワークへの長期的で秘密のアクセスを維持していると報告されています。
攻撃は、侵害されたデバイスがLumma Stealer のC2ネットワークにリンクされた自己署名証明書への異常なSSL接続を開始したときに始まりました。2分未満後、デバイスはGhostSocksバックドアとして機能する珍しい実行可能ファイルをダウンロードしました。
自動ブロッキングが手動による人間の確認を必要とするように設定されていたため、攻撃は進行しました。
その後の数日間、侵害されたデバイスは様々なドメインから複数の二次ペイロードをダウンロードし、初期段階のC2ビーコニングを開始しました。この動作は、高速で動くプロキシマルウェアの手動による修復のみに依存することのリスクを強調しています。
翻訳元: https://cyberpress.org/ghostsocks-builds-proxy-network/