以前に文書化されていなかったリモートアクセストロイ(RAT)フレームワークであるAuraborosの完全に露出したコマンドアンドコントロール(C2)パネルは、ライブオーディオストリーミング、集約的なキーロギング、ブラウザ認証情報盗聴、複数クッキーハイジャッキングをすべてインターネット経由で、認証なしで利用可能にしています。
さらなる検査により、「Auraboros C2 Station」という洗練されたシングルページダッシュボードが明らかになりました。このダッシュボードはユーザー名、パスワード、トークンの入力を一切要求せずに、被害者データとライブ制御をすぐに読み込みます。
このサイトはExpress.jsとSocket.ioで実行され、133,975バイトのHTML/JSバンドルをプレーンHTTP経由で提供しており、CORSはAccess-Control-Allow-Origin: *に設定されており、lang=”pt-BR”はブラジルポルトガル語インターフェイスを示唆しています。
UIとフッター全体のブランディングは一貫して「© 2026 Auraboros Advanced Defense Systems」を引用しており、リブランド化されたオープンソースC2ではなくカスタムフレームワークを示唆しています。
セキュリティ研究者@Fact_Finder03が174.138.43[.]25:5000でオープンC2パネルをフラグ付けし、@4_n_0_n_1_3_3_7が同じホストのポート9000も指摘しています。
| 属性 | 値 |
|---|---|
| URL | http[:]//174.138.43[.]25:5000/ |
| バックエンド | Express.js + Socket.io |
| フロントエンド | Bootstrap 5.3、JetBrains Mono |
| 認証 | なし(ログイン、トークンなし) |
| CORS | Access-Control-Allow-Origin: * |
ライブ被害者ビーコンと開発者
/api/beaconsエンドポイントは世界中から読み取り可能で、分析時には単一のアクティブなプロフィールが返されました:ブラジルのゴイアニア地域のLenovoノートパソコン。ホスト名DESKTOP-FVPFLD2およびユーザー「LabCasa」でビーコニングしています。
メタデータにはCPUモデル(第12世代Intel Core i5-1235U)、24GB RAM、464GBディスク、マザーボード識別子(LNVNB161216)、およびClaro/NET Brazilの2804:3d90::/32スペース内のIPv6アドレスが含まれており、これは開発者の個人的なホームラボシステムであることを強く示唆しています。
ビーコンプロセスはDiskIntegrityScanner.exeとしてリストされており、システムユーティリティに偽装していながらマルウェアホストとして機能しています。
ログは5日間オフラインであったマシンを示しており、2026年4月15日のテストウィンドウと一致し、Auraborosが本格的なキャンペーンではなく開発中であることを示唆しています。
調査者はパネルをパワーするフル84KBJavaScriptソースを取得し、target_idとコマンド文字列を指定するJSONボディを含むPOST /api/commandで配信される豊かなコマンド語彙を定義しています。
監視機能セットにはスクリーンショットキャプチャ、ウェブカメラスナップショット、クリップボード盗聴、および3秒ごとに/api/keylog/{id}をポーリングしてキーストロークを取得するライブキーロガーが含まれています。
重要なことに、Auraborosはライブオーディオ監視をサポートしています:audio_startおよびaudio_stopコマンドはSocket.ioベースのストリームを管理し、raw microphone dataを運ぶaudio_chunk_{targetId}イベントを発出し、UIのリアルタイム可視化ツールに表示されます。
データ盗聴の場合、フレームワークはChromおよびBraveからパスワード、クッキー、履歴を引き出すブラウザ抽出モジュールを公開しており、forceBrowserExtractionGlobal ルーチンを含めてすべてのビーコンにわたる盗聴をトリガーします。
最も高度な機能は、盗まれたクッキーをリバースSOCKS5トンネルとポート1080で組み合わせて、被害者のIPから被害者セッションをリプレイし、実質的に完全なクッキーベースのアカウントハイジャックを実現する「マルチクッキー偽装操作」です。
UIはアクティブなSOCKSトンネルなしで偽装を試みるときにポルトガル語で操作者に警告し、クッキー盗聴とネットワークピボッティング間の緊密なカップリングを強調しています。
インプラントアーキテクチャと自己破棄
/api/logs/DESKTOP-FVPFLD2からのイベントログはインプラントがスタンドアロン実行可能ファイルではなくDLLベースであることを明らかにし、DiskIntegrityScanner.exeによってロードされるときに繰り返されるDLL_PROCESS_ATTACHイベントがあります。
アタッチ時、CollectDataルーチンはシステムをフィンガープリント化し(ホスト名、ユーザー名、特権レベル、ハードウェア)C2に登録する前に、DLLサイドローディングを示唆して、無害に見えるホストバイナリに対して検査を回避します。
ブラウザログはWindows DPAPIを活用するBrave固有の認証情報盗聴を示しています:インプラントはブラウザプロフィールパスを解決し、暗号化されたマスターキーを特定し、CryptUnprotectDataを介してそれを復号化し、Login Data SQLiteデータベースをコピーし、保存されたパスワードとクッキーをクエリしています。
テスト中、ラボマシンには保存された認証情報がありませんでしたが、ワークフローは本番展開の現実世界の保存されたシークレットを明らかに対象としています。
コマンド結果はまた、組み込みの自己破棄パスを確認しています:特定のsteal_brave呼び出しへのレスポンスは自己破棄コマンドが処理されたこと、およびエージェントが確認送信後に「蒸発する」ことを報告しており、オンディスククリーンアップとプロセス終了を意味しています。
Auraborosインフラストラクチャは174.138.0.0/17範囲のDigitalOcean VPS上で実行され、ポート22(SSH)、1080(SOCKS5)、5000(C2パネル/API)、および9000(おそらくビーコンコールバックリスナー空HTTPレスポンスを返す)を公開しています。
文書化された6つのAPIエンドポイントすべて(/api/beaconsから/api/browser-data/{id}まで)は完全に認証されていないもので、クリアテキストHTTP経由で提供されており、被害者データ、ライブキーログ、盗まれたブラウザ認証情報がパス上の任意のパーティまたはホストをスキャンしている者に公開されています。
ポート5000のSocket.ioはすべての接続を受け入れ、すべてのcommand_resultイベントをすべてのクライアントにブロードキャストし、誰でも接続してリアルタイムで実際のすべての被害者のコマンドと出力をパッシブに監視できることを意味しています。
開発者自身のビーコン、詳細なハードウェアフィンガープリント、永続的なコマンド履歴、強化されていない商用ホスティングと組み合わせると、Auraborosは現在、将来の被害者と同じくらい自社のオペレーターにとってのリスクとなっていますが、その能力は基本的な認証とTLSが追加されると、展開準備完了のRATとなります。
翻訳元: https://gbhackers.com/auraboros-rat-adds-live-audio/
