SOC Prime Bias: クリティカル

22 Apr 2026 15:41 UTC
newspaper icon Huntress

Nightmare-Eclipse が公開PoCから実際の攻撃に移行

Author Photo
SOC Prime Team linkedin icon フォローする
Nightmare-Eclipse が公開PoCから実際の攻撃に移行
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

Huntress は、BlueHammer、RedSun、UnDefend として知られる公に利用可能な権限昇格ツールを使用した攻撃者のライブ侵入を記録しました。この作戦は、侵害された FortiGate SSL VPN の資格情報から始まり、攻撃者に環境へのアクセスを与え、ユーザー書き込み可能なフォルダに悪意のあるバイナリをステージングすることを可能にしました。内部に侵入後、偵察コマンドを実行し、BeigeBurrow と呼ばれるカスタムの Go ベースのトンネリング ユーティリティを展開しました。このケースは、概念実証 (PoC) のエクスプロイト ツールが公開リリースからアクティブな侵入活動にすばやく移行する方法を強調しています。

調査

調査では、ロシア、シンガポール、スイスの IP アドレスから発生した FortiGate SSL VPN セッションが侵害されて悪意ある活動が開始されたことを突き止めました。分析者は次のバイナリを発見しました。 FunnyApp.exe, RedSun.exe, undef.exe、および Go ベースのトンネリング エージェントである agent.exe がユーザーの Pictures and Downloads ディレクトリに保存されていました。攻撃者はまた、以下のような手動のコマンドを実行していました。 whoami /priv, cmdkey /list、および net group を使用して特権および資格情報を列挙しました。トンネリング エージェントは、yamux ベースのリバース トンネルを staybud.dpdns.org に対して開設し、ポート 443 を介してリモート アクセスを維持しました。

緩和策

防御者は、異常なユーザー書き込み可能なパスからの実行を監視し、既知のバイナリ名を検出し、Microsoft Defender のアラート(例として Exploit:Win32/DfndrPEBluHmr.BZ や EICAR に関連する検出)を調査する必要があります。VPN ログは広範に分布する地理的エリアからの疑わしいログインを確認し、不信頼のソース IP はブロックする必要があります。セキュリティ チームはまた、BlueHammer、RedSun、UnDefend 活動のエンドポイント検出を展開し、 CVE-2026-33825.

影響を受けるセキュリティ ホールに対する緊急対応を優先する必要があります。

この活動が検出された場合、直ちに影響を受けたエンドポイントを隔離し、トンネリング エージェントを停止し、ホストからすべてのステージング バイナリを削除します。侵害された VPN 資格情報をリセットし、リモート アクセスには多要素認証を適用します。インシデント対応者はまた、資格情報のダンプの全面的な見直しを実施し、Microsoft のパッチを CVE-2026-33825適用し、環境全体での権限昇格ツールの残存跡を探す必要があります。

"graph TB %% クラス定義 classDef action fill:#99ccff classDef builtin fill:#ffcc99 classDef malware fill:#ccffcc %% ノード – アクション action_initial_access["<b>アクション</b> – <b>T1078 有効なアカウント</b><br/>侵害された FortiGate SSL VPN の資格情報が正当なネットワークアクセスを提供します。"] class action_initial_access action action_execution["<b>アクション</b> – ユーザー書き込み可能パスからの実行<br/>Pictures と Downloads に配置されたバイナリが実行されます。"] class action_execution action action_priv_esc_exploit["<b>アクション</b> – <b>T1068 権限昇格のためのエクスプロイト</b><br/>BlueHammer は Windows Defender の TOCTOU 脆弱性をエクスプロイトして、SAM データベースへのハンドルを取得し、SYSTEM に昇格します。"] class action_priv_esc_exploit action action_priv_esc_abuse["<b>アクション</b> – <b>T1548 エレベーション制御メカニズムの濫用</b><br/>RedSun は Defender のクラウドファイル修復フローでのレース条件を活用して、C:WindowsSystem32 に悪意のある実行ファイルを書き込んで、SYSTEM 権限を獲得します。"] class action_priv_esc_abuse action action_credential_dump["<b>アクション</b> – <b>T1003 OS 資格情報のダンプ</b><br/>BlueHammer はボリューム シャドウ コピーから SAM ハイブを読み込み、NTLM パスワード ハッシュを抽出します。"] class action_credential_dump action action_pass_the_hash["<b>アクション</b> – <b>T1550.002 ハッシュ渡し</b><br/>抽出されたハッシュは Pass-the-Hash を使用した横移動のために意図されています(成功は観察されていません)。"] class action_pass_the_hash action action_defense_evasion["<b>アクション</b> – <b>T1211 回避のためのエクスプロイト</b><br/>UnDefend は Defender 定義ファイルをロックし、サービスの再起動をブロックし、一時的にアンチウイルスを無効にします。"] class action_defense_evasion action action_c2["<b>アクション</b> – <b>T1071.001 ウェブプロトコル</b><br/>BeigeBurrow エージェントは yamux マルチプレクシングライブラリを使用して持続的なリバース HTTPS トンネルを作成します。"] class action_c2 action %% ノード – マルウェア / ツール malware_funnyapp["<b>マルウェア</b> – <b>名前</b>: FunnyApp.exe<br/><b>場所</b>: UserPictures"] class malware_funnyapp malware malware_redsun["<b>マルウェア</b> – <b>名前</b>: RedSun.exe<br/><b>場所</b>: UserDownloads"] class malware_redsun malware malware_undef["<b>マルウェア</b> – <b>名前</b>: undef.exe<br/><b>場所</b>: UserDownloads"] class malware_undef malware malware_z["<b>マルウェア</b> – <b>名前</b>: z.exe<br/><b>場所</b>: UserDownloads"] class malware_z malware malware_beigeburrow["<b>マルウェア</b> – <b>名前</b>: BeigeBurrow エージェント (agent.exe)"] class malware_beigeburrow malware tool_bluehammer["<b>ツール</b> – <b>名前</b>: BlueHammer<br/><b>説明</b>: SAM ハンドルのキャプチャと資格情報のダンプのために Defender の TOCTOU をエクスプロイトします。"] class tool_bluehammer builtin tool_redsun["<b>ツール</b> – <b>名前</b>: RedSun<br/><b>説明</b>: Defender のレース条件を経由して C:WindowsSystem32 に悪意のある実行ファイルを記述します。"] class tool_redsun builtin tool_undefend["<b>ツール</b> – <b>名前</b>: UnDefend<br/><b>説明</b>: AV の定義ファイルをロックし、Defender サービスの再起動を防ぎます。"] class tool_undefend builtin %% コネクション – 攻撃フロー action_initial_access –>|次に進む| action_execution action_execution –>|実行| malware_funnyapp action_execution –>|実行| malware_redsun action_execution –>|実行| malware_undef action_execution –>|実行| malware_z malware_redsun –>|使用| tool_redsun malware_funnyapp –>|ドロップ| tool_bluehammer action_priv_esc_exploit –>|使用| tool_bluehammer action_priv_esc_exploit –>|次に進む| action_priv_esc_abuse action_priv_esc_abuse –>|使用| tool_redsun action_priv_esc_abuse –>|有効化| action_credential_dump action_credential_dump –>|生産| action_pass_the_hash action_defense_evasion –>|使用| tool_undefend action_c2 –>|確立済み| malware_beigeburrow "

攻撃フロー

シミュレーション実行

前提条件: テレメトリ & ベースラインの事前フライトチェックが通過したこと。

根拠: このセクションは、検出ルールをトリガーするための敵の技術手法 (TTP) の正確な実行を詳細に説明しています。コマンドとストーリーは、特定された TTP を直接反映し、検出の論理によって想定される正確なテレメトリを生成することを目的としています。

  • 攻撃のストーリーとコマンド:
    Windows ホストへの足がかりを得た攻撃者は、侵害されたアカウントの権限レベルを確認し、保存されている資格情報およびドメイングループを列挙して横移動を行おうとします。レーダーに捕まらないために、攻撃者はネイティブ Windows バイナリ(whoami, cmdkey, net)を PowerShell プロンプトから直接実行し、追加の警告を生むサードパーティツールを回避します。各コマンドはプロセスを生成し、Sigma ルールが監視する正確なコマンドラインを含む Event ID 4688 レコードを生成します。

  • 回帰テストスクリプト:

     # -----------------------------------------------------------------
  # Sigma ルールをトリガーするキーボード操作による偵察をシミュレート
  # -----------------------------------------------------------------
  # 1. 現行トークン権限を表示
  whoami /priv

  # 2. 保存された Windows 資格情報をリスト
  cmdkey /list

  # 3. ドメイングループを列挙(ドメインコンテキストが必要)
  net group

  # SIEM インジェスチョンを許可するための一時停止
  Start-Sleep -Seconds 10

  • Cleanup Commands:

     # 一時的なアーティファクト(作成されていない)を削除
  # ステルスのための PowerShell コマンド履歴をクリア(オプション)
  Clear-History

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加