SkyCloak作戦: Tor対応OpenSSHバックドアで防衛部門標的

Source:https://thehackernews.com/2025/11/operation-skycloak-deploys-tor-enabled.html

🛡 概要

CybleおよびSeqriteの複数報告によれば、攻撃者は軍関連文書を装ったフィッシング添付を用い、ロシアおよびベラルーシの防衛・政府系組織を主標的に「Operation SkyCloak（スカイクローク）」を展開しています。感染後はWindows版OpenSSH（sshd.exe）とカスタムTorバイナリ（obfs4対応の隠しサービス）を組み合わせた永続的バックドアを構築し、RDP/SSH/SMBの転送、SFTPでのファイル移送、C2通信の匿名化を実現します。

🔍 技術詳細

本件は軍事文書を装うメールのZIP添付から始まります。ZIP内には隠しフォルダ配下に二重のアーカイブとWindowsショートカット（LNK）が含まれ、LNK実行によりPowerShellが起動して多段ドロッパーが展開されます。ステージャはサンドボックス回避のため、直近のLNKファイル数が10以上であるか、稼働プロセス数が50以上であるかを確認し、条件を満たさない場合は即時終了します。条件成立後、C:\Users\<Username>\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\配下にhostnameというファイルを作成し、Torの.onionアドレス（例：yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd[.]onion）を書き込みます。同時にダミーのPDFを表示してユーザーの注意を逸らします。

永続化はスケジュールタスク「githubdesktopMaintenance」で実装され、ユーザーログオン時と毎日10:21（UTC）に実行されます。タスクはlogicpro/githubdesktop.exeを起動しますが、これはWindows用OpenSSHのsshd.exeをリネームしたものです。攻撃者は同フォルダに格納された事前配置のauthorized_keysで接続を制限し、認証済み鍵のみでSSHサービスにアクセス可能とします。さらに二つ目のタスクでlogicpro/pinterest.exe（カスタムTorバイナリ）を起動し、obfs4で難読化したTor隠しサービスを作成します。これによりRDP/SSH/SMB等のポート転送が可能となり、内部リソースがTor経由で到達可能になります。接続確立後、マルウェアはシステム情報と被害端末固有の.onionホスト名をcurlで送信し、以降は攻撃者がTor越しに遠隔操作を行える状態になります。

⚠ 影響

• 匿名化C2によりネットワーク監視の回避が容易となり、検知・封じ込めが遅延する恐れ
• OpenSSH＋SFTPによりファイル窃取と静的解析回避（正規ツール悪用）が進む
• RDP/SMB/SSHのポート転送により横展開や認証情報奪取リスクが増大
• 防衛・政府セクタにおける機密漏えい、作戦妨害、長期潜伏の可能性

🛠 対策

• メール防御：LNKを含むZIPの受信制限、コンテンツ分離・サンドボックス、パスワード付きZIPの解凍禁止ポリシー
• PowerShell防御：Constrained Language Mode、AMSI強制、スクリプトブロック（4104）/転送ログ有効化、ASR規則でOffice由来子プロセスを遮断
• アプリ制御：AppLocker/WDACでsshd.exeやTor/カスタムEXEのユーザープロファイル実行を禁止、正規パスとハッシュで許可
• 永続化監視：スケジュールタスク新規作成（githubdesktopMaintenance等）を自動アラート、\Windows\System32\Tasks\配下差分監視
• ネットワーク：Tor/obfs4のアウトバウンド遮断、最小限の送信許可（egress filtering）、SOCKS/隠しサービス関連の異常トラフィック可視化
• エンドポイント：EDRでlogicpro配下の不審実行体やhostnameファイル作成を監視、curlの不審呼び出しを検知

📌 SOC視点

• 検知ハイライト（Windows）
  • Security 4688：powershell.exeの子としてExpand-ArchiveやBase64デコードを含むコマンドライン
  • PowerShell Operational 4104：LNK数カウント（*.lnk列挙）やGet-Processによるプロセス数チェックのスクリプトブロック
  • Security 4698/4702 および TaskScheduler/Operational 106/140：githubdesktopMaintenance等の新規・変更タスク
  • Sysmon 1：logicpro\githubdesktop.exe（実体はsshd.exe）とlogicpro\pinterest.exeのプロセス生成
  • Sysmon 11：...\logicpro\socketExecutingLoggingIncrementalCompiler\hostnameのファイル作成
  • ネットワーク監視：Tor/obfs4特有のブリッジ/隠しサービス通信の検知（異常な長時間TLS様セッションやSOCKS利用兆候）。ドメイン解決不要の.onion名を含むツール実行の痕跡に注意
• ハンティング例（観点）
  • ユーザープロファイル配下からのsshd.exe実体の起動
  • curl.exe実行がTor関連プロセスと同時期に出現
  • ZIP→LNK→PowerShellの子孫関係（メールクライアントやexplorer.exeが祖先）

📈 MITRE ATT&CK

• TA0001 初期アクセス: T1566.001 スピアフィッシング添付（軍関連ZIPとLNK）
• TA0002 実行: T1059.001 PowerShell（多段ドロッパー/ステージャ）
• TA0005 防御回避: T1497.001 仮想化/サンドボックス回避（LNK数とプロセス数チェック）
• TA0003 永続化: T1053.005 スケジュールタスク（githubdesktopMaintenance）
• TA0011 C2: T1090.003 プロキシ（Tor隠しサービス）, T1573 暗号化通信（obfs4で難読化）
• TA0010 流出: T1041 C2チャネル上のデータ流出（curl）
• TA0007 偵察: T1082 システム情報の発見（接続前の環境確認・収集）
• TA0008 側方移動: T1021.001 RDP, T1021.002 SMB/管理共有, T1021.004 SSH（Tor経由のポート転送で実現）
• TA0012 コマンド＆制御/ツール悪用: T1219 リモートアクセスソフト（OpenSSHとTorの組合せ）

🏢 組織規模別助言

• 小規模（〜50名）：E5相当機能やDefenderのASRを有効化、メールでLNK/二重ZIPを遮断。送信制御でTor既知ノードをブロック。EDRの管理テンプレートでPowerShell制限を即導入。
• 中規模（50〜500名）：WDAC/AppLockerでユーザープロファイルからのsshd.exe/Tor実行を禁止。集中ログ（PowerShell 4104/TaskScheduler/EDR）を相関し、logicpro配下のI/Oを監視。分離ネットワークで管理端末のみRDP許可。
• 大規模（500名以上）：ゼロトラスト原則で東西トラフィックを厳格にセグメント。eBPF/NDRで暗号化トラフィックのメタデータ可視化。紫チーム演習でZIP→LNK→PS→タスク→Torのキルチェーン検知を検証し、SOCプレイブックを継続改善。

🔎 類似事例

• UAC-0125と戦術が重なる東欧系スピアフィッシング・キャンペーン（CERT-UA報告に言及あり）
• OnionDuke：Tor隠しサービスをC2に用いた過去のスパイ活動
• Ebury/Operation Windigo：OpenSSHを悪用した長期潜伏型バックドア（主にLinux）
• LNK悪用の多段PowerShellドロッパー事例（複数マルウェア系統で確認）

🧭 次の一手

まず、全端末でlogicpro配下の不審ファイル、githubdesktopMaintenanceタスク、curlによる送信痕跡をスイープしてください。次に、PowerShell 4104とTaskSchedulerログの収集を有効化し、ZIP→LNK→PSの連鎖検知ルールを導入。最後に、Tor/obfs4通信のブロックとOpenSSH実行制御をポリシー化し、インシデント対応手順（封じ込め・根絶・復旧）を演習で確認しましょう。