著者: Sathwik Ram Prakki と Kartikkumar Jivani
Contents
- イントロダクション
- 主なターゲット
- 用途事例
- 地理的焦点
- 感染とデコイ
- テクニカル分析
- PowerShell ステージ
- 固執
- インフラストラクチャとアトリビューション
- 結論
- SEQRITE保護
- IOC
- MITER ATT&CK
イントロダクション
SEQRITE Labsは、ロシアとベラルーシ両国の軍人、特にロシア空挺部隊とベラルーシ特殊部隊を標的とした攻撃キャンペーンを特定しました。この感染チェーンは、obfs4ブリッジを用いてTor経由で複数のローカルサービスを公開し、攻撃者が匿名でOnionアドレス経由で通信することを可能にします。このブログでは、PowerShell、被害者を誘い込むためのデコイ、そしてTorのトラフィックをブロック解除しながら持続性を維持するためにSSHを隠しサービスとして公開するなど、複数の段階を踏む感染チェーンについて考察します。
今年は、同様の地理的焦点を持つ複数のキャンペーンが確認されている。 ホロークイル 2025年初頭に確認されたこの攻撃は、政府や防衛部門に直接関連する学術機関や研究機関など、ロシアの様々な組織を標的としていました。7月には、「 カーゴタロン ロシアの航空宇宙および防衛部門を標的とし、イーグレットインプラントを展開している。 ヘッドメア 複数のグループが観測された。最近、CAPIバックドアを使ったロシアの自動車産業と電子商取引産業を狙った攻撃が追跡されている。 モータービーコン.
主なターゲット
用途事例
- 国防省
地理的焦点
- ロシア連邦
- ベラルーシ共和国
感染とデコイ
図1 – 感染連鎖
最初の誘い文句は、ウスリースク(東部軍管区)に駐屯する第83独立親衛空挺突撃旅団(71289部隊)の代理司令官が、ロシア空挺軍司令官(VDV)に宛てた、軍人任命のための推薦状である。ウスリースクは、現在進行中のロシア・ウクライナ戦争とは正反対の地域だが、中露国境と太平洋の両方に近い。
図2 – ロシアを狙ったおとり
2通目のおとり手紙は10月13日からの軍人訓練を目的としている。th 16へth 2025年、ミンスク近郊のマリイナ・ホルカにあるベラルーシ特殊部隊の第5独立スペツナズ旅団を指す軍事部隊89417で(報告によると、この部隊は2019年に解散されたが、2021年には何らかの活動が見られた)。
図3 – ベラルーシを狙ったおとり
テクニカル分析
アーカイブファイルはベラルーシからアップロードされており、変更日は2025年10月15日と2025年10月21日です。最初のフィッシングZIPファイルには、次のように解釈される二重拡張子形式のショートカットLNKが含まれています。
| 元のファイル名 | 翻訳された名前 |
| ТЛГ на убытие на переподготовку.pdf.lnk | TLG再訓練出発.pdf.lnk |
| Исх №6626 Представление на назначение на воинскую должность.pdf.lnk | 参照番号6626 軍職任命候補者指名.pdf.lnk |
ショートカット ファイルには、マシン ID「desktop-V7i6LHO」および「desktop-u4a2HgZ」があり、2025 年 9 月の最終週に兵器化されたようです。これらは PowerShell コマンドをトリガーし、最初のドロッパーの段階として機能します。この段階では、LNK の横にある別のアーカイブ ファイルを使用して、チェーン全体がセットアップされます。
図4 – ショートカットファイルがPowerShellをトリガーする
このコマンドは、最初のアーカイブ ファイルを次のいずれかのディレクトリに抽出します。
- %APPDATA%\dynamicUpdatingHashingScalingContext
- %USERPROFILE%\ダウンロード\増分ストリーミングマージソケット
その後、それを使用してフォルダ「FOUND.000'。この多段階抽出により、ペイロードは'$env:APPDATA\logicpro' または '$env:APPDATA\reaper' ディレクトリに移動し、テキスト ファイルの内容を読み取り、隠し PowerShell プロセスを介してサイレントに実行します。
- \logicpro\scalingEncryptingEncoding
- \reaper\responsiveHashingSocketScalableDeterministic
次の段階に進む前に、両方のアーカイブの内容を確認しましょう。複数のEXEファイルとテキストファイル、おとりPDF、DLL、そしていくつかのXMLファイルが含まれています。上記の一連の処理を経て、次の段階はPowerShellスクリプトの実行です。
図5 – アーカイブファイルの内容
PowerShell ステージ
このスクリプトは、Windowsの「最近使ったファイル」フォルダをチェックし、そこに10個以上のショートカットファイルがあるかどうかを確認します。これは 反分析 サンドボックス環境を回避し、通常のユーザーアクティビティがあることを確認するためのチェック。さらに、プロセス数が50を超えているかどうかを確認し、デコイドキュメントを開きます。
図6 – PowerShellのアンチアナライザ
次に、1つのインスタンスのみが実行されるようにミューテックスを作成します。ユーザー名を置き換えた後、両方のXMLファイルを読み取り、スケジュールされたタスクを登録して即時に開始します。これにより永続性が確立され、これらのXMLで定義されたペイロードの次の段階が実行されます。複数の文字列が連結されて、完全なオニオンアドレスが形成されます。
図7 – PowerShellステージャー
次に、Torが隠しサービスディレクトリの設定に基づいて書き込んだホスト名ファイルが存在するまで待機します。つまり、 ローカル Tor インスタンス 起動すると、オニオンが利用可能になります。特定の形式で識別ビーコンを作成します。: :3-yeeifyem' または ' で終わる:2-lrwkymi' と使用 curl ポート 9050 のローカル Tor SOCKS リスナー経由。これを永続化するために複数の再試行フラグが使用されます。
図8 – ビーコンのローカルホスト名
固執
XMLファイルは、毎日午前0時から午後5時まで実行されるWindowsのスケジュールされたタスク定義です。 2025-09-25T01:41:00-08:00 指定されたユーザーに対するログオントリガーがあります。これらのタスクは非表示になっており、コンピューターがアイドル状態、オンデマンド、ネットワークに接続されていない状態でも実行されるように構成されています。複数のインスタンスを無視し、実行時間制限はありません。
図9 – 永続性のためのXML
図10 – スケジュールされたタスク
最後に、設定ファイルが引数として渡されるEXEファイルについて見てみましょう。PDBパスと内部名から判断すると、SSHおよびSFTPサーバーのバイナリである可能性が高いです。XMLファイルは、最初の2つのコマンドまたは最後の2つのコマンドをトリガーします(両方のキャンペーンを含む)。
- %AppData%/logicpro/githubdesktop.exe -f コントローラーゲートウェイ暗号化
- %AppData%/logicpro/pinterest.exe -f pipelineClusterDeployingCluster
- %AppData%/reaper/googlemaps.exe -f ハッシュバインディングダイナミック更新セッション
- %AppData%/reaper/googlesheets.exe -f デコード分散パーシングハンドラ冗長
両方 githubdesktop.exe の三脚と googlemaps.exe 上から、そして ssh-shellhost.exe, ebay.exe (SFTPサーバー)と libcrypto.dll (LibreSSL) は、コンパイルタイムスタンプが 2023-12-13 で PDB パスが次の正規の「OpenSSH for Windows」バイナリです。
- 「C:\a_work\1\s\OSS_Microsoft_OpenSSH_Dev\bin\x64\Release\sshd.pdb」
- 「C:\a_work\1\s\OSS_Microsoft_OpenSSH_Dev\bin\x64\Release\sftp-server.pdb」
- 「C:\a_work\1\s\OSS_Microsoft_OpenSSH_Dev\bin\x64\Release\ssh-shellhost.pdb」
- 「C:\a_work\1\s\Libressl\libressl\build_X64\crypto\Release\libcrypto.pdb
libcrypto.dll 暗号化、鍵交換、ハッシュ化がバンドルされていますが、 ssh-shellhost.exe 対話型SSHセッションに使用されます。これは、攻撃者がTorを使用してユーザーのプロファイルディレクトリ内に自己完結型のOpenSSHサーバーを展開していることを裏付けています。これは、ステルス的なリモート管理とエクスプロイト後の永続化を目的としていると考えられます。
SSHDに渡される最初の構成[githubdesktop.exe (または) googlemaps.exe] は以下のとおりです。2つのキャンペーンの唯一の違いは、2つ目のキャンペーンにはSFTPサブシステムが存在しないことです。非標準ポート20321が使用されており、パスワードは無効化され、公開鍵と秘密鍵および承認鍵を含むファイルによってのみ許可されます。これらの鍵を含むファイルは次のとおりです。
- 冗長最適化インスタンス変数ログ
- 冗長実行コンテナインデックス
- 増分マージ増分不変プロトコル
- ログ記録最適化デコード
ポート20321 リッスンアドレス 127.0.0.1 ホストキー冗長最適化インスタンス変数ログ PubkeyAuthenticationはい PasswordAuthenticationいいえ 承認済みキーファイル AppData\Roaming\logicpro\redundantExecutingContainerIndexing サブシステム SFTP AppData\Roaming\logicpro\ebay.exe
2番目の構成は pinterest.exe (または) googlesheets.exe、基本的には トル.exeは、オニオンサービスを作成し、SSH、SMB、RDPなどのポートをTor経由で公開します。これは、プラグイン可能なトランスポートであるobfs4を使用するように設定されており、EXEファイルとして コンフルエンス.exe (または) ライダー.exe、これは単にoであるbfs4プロキシ バイナリ接続を隠蔽するためにブリッジが使用されていることが確認されています。ブリッジのエンドポイントは、IP、ポート、フィンガープリント、証明書、およびiatモードで定義され、これらのブリッジを介したTorのアウトバウンド接続を許可します。
図11 – Torブリッジとの通信
HiddenServiceDir "socketExecutingLoggingIncrementalCompiler/" 隠しサービスポート 20322 127.0.0.1:20321 隠しサービスポート 11435 127.0.0.1:445 隠しサービスポート 13893 127.0.0.1:3389 隠しサービスポート 12192 127.0.0.1:12191 隠しサービスポート 14763 127.0.0.1:14762 GeoIPファイル geoip GeoIPv6ファイル geoip6 ClientTransportPlugin obfs4 実行 confluence.exe ブリッジを使用する 1 Bridge obfs4 77.20.116.133:8080 2BA6DC89D09BFFA68947EF5719BFA1DC8E410FF3 cert=wILsetGQVClg0xNK5KWeKYCZJU48I9L+XiS4UVPfi3UQzU14lXuUhnuNiaeMzs2Z3yNfZw iat-mode=2 Bridge obfs4 156.67.24.239:33333 2F311EB4E8F0D50700E0DF918BF4E528748ED47C cert=xzae4w6xtbCRG4zpIH7AozSPI0h+lKzbshhkfkQBkmvB/DSKWncXhfPpFBNi5kRrwwVLew iat-mode=2
同様に正当な obfs4proxy.exe 名前が変更され、構成で次のように使用されます。 コンフルエンス.exe の三脚と ライダー.exe.
インフラストラクチャとアトリビューション
Tor 経由で被害者を登録するために使用されるオニオン リンクは次のとおりです。
- yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd[.]onion
これらのTorブリッジポートからの最近のネットフローデータに基づくと、ロシアや近隣諸国とのトラフィックも確認されています。これらのIPアドレスは、Torサービスまたは住宅用に分類されます。
| IPアドレス:ポート | ASN | 国 | カテゴリー |
| 77.20.116 [。] 133:8080 | 3209(ボーダフォンGmbH) | Germany | 住宅、プロキシ |
| 156.67.24 [。] 239:33333 | 51167 (コンタボ GmbH) | フランス | タ |
| 146.59.116 [。] 226:50845 | 16276 (OVH SAS) | ポーランド | |
| 142.189.114 [。] 119:443 | 577(BACOM) | Canada |
156.67.24[.]239:33333と77.20.116[.]133:8080の両方でトラフィックが非常に少ないことが確認されています。一方、ロシアを標的とした設定およびデコイの一部である残りの2つのIPアドレスでは、ロシアからのトラフィックが確認されています。
ロシアと関係のある2つのグループ、 APT44 (サンドワーム)と APT28は、以前にもTorを使用してOnionドメインと通信していたことが確認されています。しかし、今回のケースでは、ネットワーク監視を回避するために、プラガブルトランスポートとSSHDのカスタム設定が使用されており、これらの攻撃はロシアとベラルーシを標的としています。同様の標的攻撃は、親ウクライナのAPT攻撃によっても確認されています。 怒ったリコ (スティッキー・ウェアウルフ)と リコを目覚めさせよ (コアウェアウルフ) ただし、SkyCloak は今のところ未指定のままです。
結論
ロシアとベラルーシの両軍関係者を標的としたマルチチェーン侵入チェーンが確認されました。このチェーンは、OpenSSHとTorブリッジを展開するPowerShellステージャーへと繋がります。これは、標的環境内で秘密裏にリモートアクセスとラテラルムーブメントを確立することを目的とした、ステルス重視のキャンペーンを示しています。現時点での証拠に基づくと、このキャンペーンは防衛および政府部門を標的とした東欧関連のスパイ活動と一致しているように見えますが、過去に記録された活動との関連性から、アトリビューションの信頼性は依然として低いと言わざるを得ません。
SEQRITE保護
- XML.スカイクローク.50052.GC
- SCRIPT.Trojan.50053.GC
- SCRIPT.スカイクローク.50054
IOC
| アーカイブ(ZIP) | |
| 952f86861feeaf9821685cc203d67004 | ТЛГ на убытие на переподготовку.pdf |
| d246dfa9e274c644c5a9862350641bac | persistentHandlerHashingEncodingScalable.zip |
| 8716989448bc88ba125aead800021db0 | Исх №6626 Представление на назначение на воинскую должность.pdf.zip |
| ae4f82f9733e0f71bb2a566a74eb055c | プロセッサコンテナロギング.zip |
| ショートカット(LNK) | |
| 32bdbf5c26e691cbbd451545bca52b56 | ТЛГ на убытие на переподготовку.pdf.lnk |
| 2731b3e8524e523a84dc7374ae29ac23 | Исх №6626 Представление на назначение на воинскую должность.pdf.lnk |
| パワーシェル(PS1) | |
| 39937e199b2377d1f212510f1f2f7653 | スケーリング暗号化エンコーディング |
| 9242b49e9581fa7f2100bd9ad4385e8c | 応答性ハッシュソケットスケーラブル決定論的 |
| XML | |
| b61a80800a1021e9d0b1f5e8524c5708 | バッファ関数ハッシュ.xmlの読み込み |
| b52dfb562c1093a87b78ffb6bfc78e07 | 増分冗長レンダリング.xml |
| 45b16a0b22c56e1b99649cca1045f500 | ContextBufferSchemaIncremental.xml を同期する |
| dcdf4bb3b1e8ddb24ac4e7071abd1f65 | フレームワークリポジトリ動的最適化.xml |
| テキスト | |
| e1a8daea05f25686c359db8fa3941e1d | コントローラーゲートウェイ暗号化 |
| b3382b6a44dc2cefdf242dc9f9bc9d84 | パイプラインクラスタデプロイクラスタ |
| 229afc52dccd655ec1a69a73369446dd | ハッシュバインディングダイナミック更新セッション |
| f6837c62aa71f044366ac53c60765739 | デコード分散パーシングハンドラー冗長 |
| 2599d1b1d6fe13002cb75b438d9b80c4 | 冗長実行コンテナインデックス |
| b7ae44ac55ba8acb527b984150c376e2 | 冗長最適化インスタンス変数ログ |
| 0f6aaa52b05ab76020900a28afff9fff | 冗長最適化インスタンス変数ログ.pub |
| 219e7d3b6ff68a36c8b03b116b405237 | ログ記録最適化デコード |
| dfc78fe2c31613939b570ced5f38472c | 増分マージ増分不変プロトコル |
| 77bb74dd879914eea7817d252dbab1dc | 増分マージ増分不変プロトコル.pub |
| PE (EXE/DLL) | |
| f6c0304671c4485c04d4a1c7c8c8ed94 | githubdesktop.exe / googlemaps.exe (sshd.exe) |
| cdd065c52b96614dc880273f2872619f | pinterest.exe / googlesheets.exe (tor.exe) |
| 37e83a8fc0e4e6ea5dab38b0b20f953b | ebay.exe (sftp-server.exe) |
| 6eafae19d2db29f70fa24a95cf71a19d | ssh-shellhost.exe |
| 664f09734b07659a6f75bca3866ae5e8 | confluence.exe / rider.exe (obfs4proxy.exe) |
| 6eafae19d2db29f70fa24a95cf71a19d | libcrypto.dll |
| おとり | |
| 23ad48b33d5a6a8252ed5cd38148dcb7 | ТЛГ на убытие на переподготовку.pdf |
| c8c41b7e02fc1d98a88f66c3451a081b | Исх №6626 Представление на назначение на воинскую должность.pdf |
| トーア・ブリッジズ | |
| 77.20.116[.]133:8080 156.67.24[.]239:33333
146.59.116[.]226:50845 142.189.114[.]119:443 |
|
| yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd[.]onion | |
MITER ATT&CK
| 戦略 | テクニックID | 技名 |
| リソース開発 | T1583 | インフラストラクチャを取得する |
| 初期アクセス | T1566.001 | フィッシング:スピアフィッシングアタッチメント |
| 実行 | T1204.002 | ユーザーの実行:悪意のあるファイル |
| T1059.001 | コマンドおよびスクリプト インタープリター: PowerShell | |
| T1106 | ネイティブAPI | |
| 固執 | T1053.005 | スケジュールされたタスク |
| T1547 | ブートまたはログオン時の自動実行 | |
| T1027 | 難読化されたファイルまたは情報 | |
| 防衛回避 | T1036 | 仮装 |
| T1497 | 仮想化/サンドボックス回避 | |
| プーケットの魅力 | T1083 | ファイルとディレクトリの検出 |
| T1046 | ネットワークサービスディスカバリ | |
| T1033 | システム所有者/ユーザーの発見 | |
| ラテラルムーブメント | T1021 | リモートサービス |
| 収集 | T1119 | 自動収集 |
| コマンドおよび制御 | T1071 | アプリケーション層プロトコル |
| T1090 | プロキシ | |
| T1571 | 非標準ポート | |
| exfiltration | T1041 | C2チャネルを介した浸透 |
