Hackers Abuse Open-Source Tools PoshC2, Chisel & Classroom Spy to Establish Their Attack Framework
2025/06/25 CyberSecurityNews — アフリカの金融セクターを標的とする、高度なサイバー犯罪活動が出現した。この活動は、正規の OSS ペンテスト・ツールを組み合わせて悪用し、アフリカ大陸全体の銀行ネットワークへの持続的なアクセスを確立している。CL-CRI-1014 という名で活動する脅威アクターは、PoshC2/Chisel/Classroom Spy といった、無料で入手できるセキュリティ・ツールを再利用し、金融機関に対する複雑な多段階攻撃を仕掛けることで、驚くべき適応力を発揮している。
この攻撃活動が示すのは、サイバー犯罪の戦術における懸念すべき進化である。この攻撃者は、正規のペンテスト・ツールと、システム管理のために設計されたセキュリティ・ツールを二重に悪用している。
これらの OSS フレームワークを利用する脅威アクターは、悪意の活動を通常のネットワーク管理業務と融合させ、セキュリティ・チームによる検出を著しく困難にしている。
この攻撃者が採用した回避手法では、窃取した証明書によるコード署名や、信頼できるベンダーのアイコンやメタデータで偽装する悪意の実行ファイルなどが用いられている。それらは、セキュリティ侵害において、きわめて高度な技術を駆使するものだ。
Palo Alto Networks のアナリストたちが、包括的な行動分析とインフラの相関分析を通じて、この脅威クラスターを特定した。そこで明らかにされたのは、侵害した金融ネットワークへの IAB (Initial Access Broker) としての役割を担うための、綿密に組織化されたキャンペーンの存在である。
CL-CRI-1014 の活動における主要なリモート管理ツールが、MeshAgent から Classroom Spy に置き換えられ、以前のキャンペーンから変化している点を、研究者たちは指摘している。
.webp)
この脅威アクターは、侵害された環境内でのラテラル・ムーブメントで体系的なアプローチを採用している。そこで用いられる手法には、リモート・サービスの作成/DCOM による実行、システム管理のための正規の PsExec ツールのデプロイメントなどがある。
この多角的な戦略により、この脅威アクターは永続性と制御のための複数の経路を維持し、標的組織の修復作業を著しく複雑化させている。
このキャンペーンの巧妙さは、単なるツールの展開に留まらない。攻撃者が高度な能力を発揮しているアクティビティとしては、ネットワーク偵察や、資格情報の収集に加えて、ネットワーク・セキュリティ回避するためのプロキシ設定などがある。
特定の標的環境内の、ハードコードされた内部 IP アドレスや、窃取した資格情報などに合わせて、ペイロード・コンフィグをカスタマイズする能力が示すのは、この攻撃者の広範な偵察活動における能力と、被害者のネットワーク・アーキテクチャに対する深い理解である。
高度なパーシスタンスとプロキシ設定メカニズム
CL-CRI-1014 の活動において、最も技術的に高度な点は、Command and Control (C2) フレームワークと、隠蔽通信を維持するためのプロキシ・メカニズムにおける PoshC2 の実装にある。
本来の PoshC2 は、レッドチーム演習用に開発された OSS ポストエクスプロイト・フレームワークの役割を持つが、この脅威アクターにより大幅にカスタマイズされ、侵害済みのネットワークから窃取した資格情報を悪用し、標的環境に固有のプロキシ・コンフィグを組み込むようになっている。
したがって、この攻撃者は、PoshC2 のネットワーク通信モジュールを改変するという、高度なプログラミング能力を発揮していることになる。
回収されたサンプルの分析により明らかになったのは、侵害した Active Directory 環境から抽出したと考えられる、ハードコードされたプロキシ認証情報を組み込んだ、カスタム WebClient コンフィグの実装である。
これらの攻撃で使用された PoshC2 実行ファイルから抽出された、以下のコード・スニペットが示すのは、プロキシの洗練された実装である。
private static WebClient GetWebRequest(string cookie)
{
try
{
ServicePointManager.SecurityProtocol = (SecurityProtocolType.Tls | SecurityProtocolType.Tls11 |
SecurityProtocolType.Tls12);
}
catch (Exception ex)
{
Console.WriteLine(ex.Message);
}
WebClient webClient = new WebClient();
string text = ;
string text2 = ;
string password = ;
if (!string.IsNullOrEmpty(text))
{
;
WebProxy webProxy = new WebProxy();
webProxy.Address = new Uri(text);
webProxy.Credentials = new NetworkCredential(text2, password);
if (string.IsNullOrEmpty(text2))
{
webProxy.UseDefaultCredentials = true;
}
webProxy.BypassProxyOnLocal = false;
webClient.Proxy = webProxy;
}
この実装が証明するのは、それぞれの被害者の環境に合わせて特別にコンフィグされた、高度に標的を絞ったペイロードの作成を、この脅威アクターが達成している状況である。
このコードには、コンパイル・プロセス中に環境固有の認証情報が設定される、空の文字列プレースホルダが取り込まれており、標的の組織ごとにカスタマイズされたインプラントが作成される。
.webp)
さらに、この攻撃者は、複数のパーシスタンス・メカニズムを実装しており、その中には、正規のセキュリティ・ソフトウェア更新を偽装する、スケジュール・タスクの作成も含まれる。たとえば、”Palo Alto Cortex Services” というタスクは、”CortexUpdater.exe ” を装うファイルを実行し、正規の Palo Alto Networks 製品に精通したセキュリティ担当者による検出を回避していくという。
このサイバー攻撃において際立つのは、正規ツールを悪用する手口の巧妙さですね。PoshC2 や Classroom Spy などの、正当な目的のために開発された OSS ツールが、攻撃のコアで使用されていると、この記事は指摘しています。PoshC2 については、どこかで見たという記憶があり、このブログ内を検索してみたら、2025/06/19 の「Jitter-Trap という C2 追跡ツール:ビーコン通信のランダム性を逆手にとる戦略とは?」に登場していました。よろしければ、カテゴリ SecTools も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.