Sandwormが長期的なステルス持続性を実現するためにSSH-over-Torトンネルを使用

Sandworm（APT-C-13）の戦術における重要な進化を明かし、ターゲットネットワーク内での長期的で隠蔽された持続性を実現するためのSSH-over-Torトンネリングの使用を明らかにしています。

FROZENBARENTSとしても知られているSandwormは、2014年以来活動している国家支援の脅威グループです。政府機関、エネルギー企業、研究機関を継続的にターゲットとし、インテリジェンス収集に焦点を当てています。

攻撃は、悪意のあるWindowsショートカット（LNK）ファイルを含むZIPアーカイブを含むスピアフィッシングメールで始まります。

これらのファイルは正当なドキュメントに偽装されており、ユーザーをだまして実行させるためにPDFを模倣することがよくあります。

360 Advanced Threat Research Instituteによって特定されたこの活動は、従来の防御をバイパスするために設計された、匿名性、暗号化、ステルスの高度なブレンドを強調しています。

開かれると、LNKファイルはマルチステージ感染チェーンをトリガーします。ネストされたアーカイブから隠れたペイロードを抽出し、PowerShellベースの制御スクリプトを実行します。

このスクリプトは複数のコンポーネントをデプロイし、Opera GXやDropboxなどの正当なアプリケーションとして偽装したスケジュールされたタスクを使用して持続性を確立します。

同時に、被害者を気を散らすためのおとりPDFが表示される一方で、マルウェアはバックグラウンドで静かに自身をインストールします。

SSH-over-Torトンネル

このキャンペーンの最も注目すべき特徴は、TorとSSHを組み合わせた二重層暗号化トンネルの作成です。

Torは隠されたサービス（.onionドメイン）を作成するために使用され、SMB（ポート445）やRDP（ポート3389）などの内部サービスを攻撃者に公開します。
SSHはTorトンネル内にデプロイされ、公開鍵認証を使用して安全で認証されたバックドアを提供します。

このセットアップにより、攻撃者はインターネットにオープンポートを公開することなく、侵害されたシステムにリモートアクセスできます。

実行時に、スクリプトは即座に厳密なサンドボックスと仮想マシン検出ロジックを実行し、`.lnk`ファイルの数を検証してホスト環境を判定します。

SSHサービスはlocalhostでのみリッスンしTor経由で通信するため、従来のセキュリティツールで検出することが極めて困難になります。

たとえば、攻撃者はTor経由で隠されたonionアドレスに接続し、被害者のRDPサービスにトラフィックをルーティングして、効果的にファイアウォール保護をバイパスできます。

Sandwormは検出を回避するために複数の回避技術を統合しています：

さらに、マルウェアはインストールの痕跡を削除し、ミューテックス制御を使用して単一のインスタンスのみが実行されることを確認します。

マルウェアはユーザーログオン時にトリガーされるスケジュールされたタスクを通じて持続性を確立します。これらのタスクはTorとSSHサービスを自動的に起動し、システムの再起動後でも継続的なアクセスを確保します。

Tor隠しサービスがアクティブになると、マルウェアは被害者識別データをハードコードされたonionベースのコマンド・アンド・コントロール（C2）サーバーに送信します。これにより、攻撃者は長期的な監視と制御を維持できます。

研究者は、重複する技術、インフラストラクチャー設計、および歴史的パターンに基づいて、このキャンペーンをSandwormに起因するものと考えています。

ネストされたTorおよびSSHトンネルの使用は以前のSandworm作戦を反映していますが、改善されたモジュール性とステルスを導入しています。

この開発は、従来のバックドアから完全に匿名化されたリモートアクセスフレームワークへの転換を示しています。内部サービスをダークウェブに組み込むことにより、攻撃者は周辺セキュリティモデルを効果的にバイパスします。

このキャンペーンは、暗号化および匿名化された攻撃チャネルを検出することの増加する課題を強調しています。組織は以下を優先すべきです：

これらの調査結果は、高度なグループが隠蔽された持続性技術の改善を続けているため、層状防御とプロアクティブな脅威ハンティングの必要性を強化しています。