サイバーセキュリティ研究者は、Auraboros C2と呼ばれるこれまで文書化されていないコマンド・アンド・コントロールフレームワークを発見しました。
興味深いことに、パネルの管理ダッシュボード、被害者リスト、およびコマンドAPIは完全に認証なしで公開されています。プレーンHTTPで提供され、広く開放されたクロスオリジンリソースシェアリング(CORS)ポリシーで、プラットフォームはそのバックエンド操作への完全な可視性を可能にしています。
84KBのJavaScriptソースコードは、ライブオーディオストリーミング、ウェブカメラキャプチャ、キーストローク記録、および高度なブラウザデータ盗難が可能な洗練されたリモートアクセストロイを明かしています。
「AuraborosAdvanced Defense Systems」の著作権を表示するブラジルポルトガル語の高度に洗練されたユーザーインターフェイスを特徴としているにもかかわらず、開発者は重大な運用セキュリティの誤りを犯しました。
自分たちのテスト環境とコマンド履歴を公開アクセス可能なままにすることで、著者は不注意にも脅威インテリジェンス研究者にマルウェアの機能と内部アーキテクチャの包括的な設計図を提供してしまいました。
Auraborosインプラントは、DiskIntegrityScanner.exeという正規のWindowsシステムユーティリティになりすまします。スタンドアロン実行ファイルとして機能するのではなく、DLLサイドローディングとして知られている一般的な防御回避テクニックを活用しています。
クリーンなバイナリは悪意のあるペイロードをメモリに読み込み、その後、侵害されたマシンに対して詳細にフィンガープリント処理を行い、ハードウェア仕様、ユーザー権限レベル、および正確な地理的位置情報データを抽出します。
エージェントがサーバーに登録されると、Socket.ioトランスポート経由でリアルタイム通信を確立します。
この永続的な接続により、オペレーターはステルススクリーンショットの撮影や被害者のマイクから直接継続的なライブオーディオストリーミングの開始を含む、迅速な監視コマンドを実行できます。
監視機能に加えて、マルウェアはChromeやBraveなどの最新Webブラウザの認証情報をターゲットにした広範なデータ盗難モジュールを含みます。
盗まれたブラウザセッションを組み込みの逆向きSOCKS5プロキシと連鎖させることで、攻撃者は被害者自身のIPアドレスを通じて悪意のあるトラフィックをルーティングしながら、Webセッションをハイジャックできます。
この高度なテクニックは、ネットワーク検出の取り組みを著しく複雑にします。
操作後に検出されないままでありたいとオペレーターが望む状況のために、開発者はさらに無線更新モジュールとマルウェアをディスクから完全に削除するための自己破壊メカニズムを含めました。
インプラント内に組み込まれた技術的に高度な機能にもかかわらず、全体的なフレームワークは明白なアマチュアレベルの運用セキュリティの欠陥に苦しんでいます。
基本的な認証のbreakglass完全な欠如は、ポート5000をヒットする任意のインターネットスキャナーがメインダッシュボードを表示し、盗まれたブラウザデータを抽出し、リアルタイムでライブキーロガーフィードを監視できることを意味しています。
さらに、リアルタイムSocket.io設定は、セッション分離またはアクセス制御なしで、すべての接続されたクライアントにコマンド結果をブロードキャストします。
翻訳元: https://cyberpress.org/auraboros-rat-panel-exposed/