SOC Prime Bias: クリティカル

29 Dec 2025 09:55 UTC

Gladinet CentreStack/Triofoxの不安定な暗号脆弱性のアクティブな悪用

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
Gladinet CentreStack/Triofoxの不安定な暗号脆弱性のアクティブな悪用
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

Threat actors are actively exploiting weak cryptography in Gladinet CentreStack and Triofox. The chain leverages hard-coded AES keys to retrieve the web.config file and then pivots to ViewState deserialization attacks. In two incidents observed on December 15, PowerShell delivered via the IIS worker process was used to download and execute a malicious binary named conqueror.exe. The activity is potentially linked to the cl0p ransomware group.

調査

Huntress recorded PowerShell spawned by w3wp.exe that invoked a base64-encoded payload to fetch conqueror.exe from 185.196.11.207. The executable was saved to C:UsersPublicconqueror.exe and run for host enumeration. Follow-on behavior included a curl request to the same server and use of quser.exe to list active sessions. Event ID 1316 also captured exploitation attempts from 146.70.134.50 associated with CVE-2025-30406.

緩和策

Gladinet released version 16.12.10420.56791, rotating static cryptographic keys and patching the ViewState deserialization weakness. Organizations should upgrade promptly and rotate existing machineKey values to invalidate prior exposure. Review web logs for the encrypted query string “vghpI7EToZUDIZDdprSubL3mTZ2” to identify probing or exploitation. Further reduce risk by disabling unnecessary IIS handlers and enforcing strict input validation.

対応策

Alert on PowerShell with base64 payloads originating from w3wp.exe and on creation or execution of C:UsersPublicconqueror.exe. Isolate affected hosts, preserve IIS and endpoint telemetry, and block outbound traffic to the malicious IPs and URLs cited. Verify web.config integrity, rotate machine keys immediately, and conduct a forensic review of all CentreStack/Triofox systems to scope impact and remove artifacts.

攻撃フロー

検出

疑わしいMicrosoft IISサーバーの動作(cmdline経由)

SOC Prime チーム
2025年12月23日

可能性のあるWebサーバーまたはWebアプリケーションの悪用[Windows](cmdline経由)

SOC Prime チーム
2025年12月23日

公開ユーザープロファイルでの疑わしいファイル(file_event経由)

SOC Prime チーム
2025年12月23日

公開ユーザープロファイルからの疑わしい実行(process_creation経由)

SOC Prime チーム
2025年12月23日

PowerShellでのダウンロードまたはアップロード(cmdline経由)

SOC Prime チーム
2025年12月23日

疑わしいファイルダウンロード直接IP(プロキシ経由)

SOC Prime チーム
2025年12月23日

IOCs (HashSha256)で検出: Gladinet CentreStack/Triofoxの脆弱な暗号化の積極的な悪用

SOC Prime AI ルール
2025年12月23日

IOCs (SourceIP)で検出: Gladinet CentreStack/Triofoxの脆弱な暗号化の積極的な悪用

SOC Prime AI ルール
2025年12月23日

IOCs (DestinationIP)で検出: Gladinet CentreStack/Triofoxの脆弱な暗号化の積極的な悪用

SOC Prime AI ルール
2025年12月23日

Base64 エンコーディング付きの cmd.exe 経由の PowerShell 実行を検出[Windows PowerShell]

SOC Prime AI ルール
2025年12月23日

PowerShellを利用したIISワーカープロセスによる潜在的なリモートコード実行[Windowsプロセス作成]

SOC Prime AI ルール
2025年12月23日

Gladinet CentreStackのweb.configの暗号化されたGETリクエスト[Webサーバー]

SOC Prime AI ルール
2025年12月23日

シミュレーション実行

前提条件: テレメトリとベースラインのプリフライトチェックが成功している必要があります。

理由: このセクションは、検出ルールをトリガーするために設計された攻撃者技術(TTP)の正確な実行を詳述しています。 コマンドと説明は、TTPに直接反映されなければならず、検出ロジックが予期する正確なテレメトリを生成することを目指しています。 抽象的または無関係な例は、誤診につながります。

  • 攻撃の概要とコマンド:

    攻撃者がGladinet CentreStackインスタンスを特定した後、脆弱なクエリ形式に従う暗号化されたペイロードを作成します。 正当なWebクライアントを使用して( curl またはPowerShell Invoke-WebRequest)、攻撃者は暗号化されたトークンを含むGETリクエストを 隠されたエンドポイントに発行します。 /storage/filesvr.dn サーバーによって復号化されると web.configに対するリクエストに解決されます。そのリクエストはプロトコルレベルでは通常のトラフィックと区別がつきませんが、独自の暗号文パターンは検出ルールによってキャプチャされます。

  • 回帰テストスクリプト:

    #!/usr/bin/env bash
    # ------------------------------------------------------------
    # Gladinet CentreStack web.configの暗号化されたGETリクエストをシミュレート
    # ------------------------------------------------------------
    
    # 対象サーバー(実際のホスト名/IPで置き換え)
    TARGET="http://target-server.example.com"
    
    # ルールからの既知の暗号化されたペイロードの一つ(例)
    ENCRYPTED_PAYLOAD="/storage/filesvr.dn t=vghpI7EToZUDIZDdprSubL3mTZ2:aCLI:8Zra5AOPvX4TEEXlZiueqNysfRx7Dsd3P5l6eiYyDiG8Lvm0o41m:ZDplEYEsO5ksZajiXcsumkDyUgpV5VLxL|372varAu"
    
    # リクエストを発行
    curl -s -o /dev/null -w "%{http_code}n" "${TARGET}${ENCRYPTED_PAYLOAD}"
    # ------------------------------------------------------------
  • クリーンアップコマンド:

    # ターゲットに永続的な変更は加えられませんでした。生成されたのはネットワークトラフィックのみです。
    # テストのために一時的なファイアウォー​​ルルールまたはネットワークキャプチャを開始した場合、それを削除する:
    
    # 例: tcpdumpを停止 (Linux) または WinPcap フィルターを削除 (Windows)
    # sudo pkill -f tcpdump