ロシア国家主導のハッキンググループとして知られるAPT-C-13は、Sandwormとしても認識されており、被害者ネットワークへの隠蔽された長期アクセスを維持するための非常に高度な方法を開発しました。
最近の脅威インテリジェンスは、このグループがSSHとTorを使用した複雑な二重暗号化トンネルシステムをデプロイして、従来のセキュリティ防御を秘密裏にバイパスしていることを明らかにしています。
攻撃は通常、Iskhod_7582_Predstavlenie_na_naznachenie.zipという名前のファイルなどの悪意のあるZIPアーカイブを含む標的型スピアフィッシングメールで始まります。
攻撃者はこれらのファイルを重要な公式文書のように見えるように設計し、被害者がそれらを開くようにだまします。無害なPDFに偽装されたショートカット(LNK)ファイルをユーザーが開くと、隠されたインストール順序が即座にトリガーされます。
マルウェアは複数のファイルを、通常のWindowsごみ箱に似た隠蔽システムフォルダに抽出し、ユーザーや基本的なアンチウイルスプログラムの注意を引くのを避けます。
この操作の中心にあるのは、currentSessionTriggerという名前のマスターコントロールスクリプトです。完全なペイロードを実行する前に、このスクリプトはコンピュータの環境を慎重にチェックします。
実行中のプロセスの数と最近のファイルをカウントして、セキュリティ研究者のテストサンドボックスの内部にいないことを確認します。監視されていることを感知した場合、プログラムはシャットダウンします。
環境が安全な場合、スクリプトは本物の無害なドキュメントを開いてユーザーの気をそらす一方で、背後で攻撃の設定を秘密裏に行います。
その後、特別なスケジュール済みタスクを作成し、感染したコンピュータが起動するたびに悪意のあるプログラムが自動的に静かに起動することを確保します。
この新しい手口の最も危険な側面は、ハッカー用の目に見えないシャドウ管理コンソールをどのように作成するかです。
マルウェアはTorブラウザを構成して、秘密のダークウェブアドレス(オニオンリンクとして知られている)を作成し、被害者のコンピュータに直接結びつけます。
この隠蔽されたアドレスを通じて、攻撃者はファイル共有用のポート445やリモートデスクトップアクセス用のポート3389などの重要なローカルネットワークポートを外部に直接接続します。これは被害者の企業ファイアウォールに目に見える穴を開くことなく発生します。
このトンネルをさらに検出困難にするために、APTのSandwormはobfs4と呼ばれる特別なネットワークプロトコルを使用します。
このツールはTorネットワークトラフィックをスクランブルして、通常のランダムなウェブブラウジングとまったく同じように見えるようにします。このように、マルウェアはディープパケット検査と厳密な企業ネットワークモニターを簡単に通過します。
安全な接続が確立されると、攻撃者は事前にロードされたデジタルキーを使用してパスワードを入力せずにSSHサーバーにログインします。
これにより、機密ファイルを盗んだり、他のコンピュータに移動したり、ネットワークを継続的にスパイしたりするための完全で静かな制御が得られます。
翻訳元: https://cyberpress.org/sandworm-enables-hidden-access/
