記事本文(要約)
中国系のサイバーエスピオナージグループ「FamousSparrow」が、米国の貿易組織をターゲットに、新しいモジュラー型バックドア「SparrowDoor」を使用して攻撃を行いました。ESETのセキュリティ研究者によると、このグループは2022年以降も活発で、Microsoft ExchangeやWindows Serverの旧バージョンの脆弱性を悪用してWebシェルを展開しています。
新しいSparrowDoorは、並行してコマンドを処理できる機能を持ち、モジュラー構造でプラグインを適用することで、シェルアクセス、ファイル操作、キー入力記録などの機能を拡張します。また、FamousSparrowは、他の中国のAPTと関連がある「ShadowPad」というRATも使用しており、Microsoftはこれを「Salt Typhoon」として分類していますが、ESETはこれを異なるグループとして追跡しています。これらのグループ間のコードの類似性や技術の共通性から、ESETは共通の供給元が存在する可能性を指摘しています。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 27 Mar 2025 14:38:23 -0400
Original URL: https://www.bleepingcomputer.com/news/security/chinese-famoussparrow-hackers-deploy-upgraded-malware-in-attacks/
詳細な技術情報
- 脆弱性の仕組み
- 初期アクセス手法: 古いバージョンのMicrosoft ExchangeやWindows Serverのエンドポイントを利用して初期アクセスを獲得し、ウェブシェルを設置することで後続の攻撃を展開している。
- バックドア (SparrowDoor): モジュール型のバックドアで、プラグインをオンザフライでロードでき、システム上でさまざまな操作を非検出に行う機能を持つ。
- ShadowPad使用: DLLサイドローディングを通じて、既存のWindowsプロセスにRATを注入し、不正な操作を行わせる。
- 攻撃手法
- ウェブシェルの設置: 初期アクセス後、ウェブシェルを使用してシステムの制御を維持。
- バックドアの導入と制御: SparrowDoorを用いて持続的なC&C通信を確立し、複雑な操作をリモートで可能にする。
- ShadowPadの活用: 高度なRATを使い、攻撃をより洗練されたものにする。 ### 潜在的な影響
- データ漏洩: システム内のデータへのアクセスと漏洩のリスク。
- 情報操作: システム内の情報を改ざんまたは操作される可能性。
- システム支配: 攻撃者がシステムのフルコントロールを持ち、操作活動を続ける危険。
- 推奨される対策
- 1. ソフトウェア更新: Microsoft ExchangeやWindows Serverを最新のパッチ状態に保つことで、既知の脆弱性から守る。
- 2. ログ監視: 特にC&C通信や無許可のプロセス実行を監視することで、異常な活動を早期に検知する。
- 3. Webシェルの検出と削除: ウェブサーバーの構成を監視し、不明なスクリプトやシェルがないか定期的に確認。
- 4. 侵入テストと評価: 定期的にセキュリティ評価を行い、システムの脆弱性を検出と修正を繰り返す。
- 5. 教育とトレーニング: 従業員に対する最新の脅威に関する教育を実施し、フィッシングや社会工学的攻撃に対する認識向上を図る。
- その他の情報
- 攻撃グループの関連性: ESETはFamousSparrow、GhostEmperor、Earth Estriesを同一のグループとは見なしておらず、共通するインフラや技術の背景に第三者のサプライヤーの可能性を指摘している。この情報は敵対的プレイヤーの相互関係の理解に役立つ。 この情報を基に、組織は自身のセキュリティ体制を強化し、潜在的な脅威に対策することが求められます。
