記事本文(要約)
国家支援のハッカーグループMirrorFaceが、日本と台湾の政府機関や公共機関を狙ったサイバースパイ活動で、ROAMINGMOUSEというマルウェアを使用していることが確認されました。2025年3月にTrend Microが検出したこの活動では、スピアフィッシングメールを介してANELというバックドアの更新版が配布されました。このメールには、Microsoft OneDriveのURLが含まれ、ZIPファイルをダウンロードさせます。ZIP内には、マルウェアを仕込んだExcel文書とROAMINGMOUSEというドロッパーが含まれており、これがANEL関連のコンポーネントを配布します。
このキャンペーンで使用されたANELには、BOF(Beacon Object File)のメモリ内実行をサポートする新しいコマンドが実装されました。また、SharpHideも利用され、NOOPDOORという別のバックドアを起動する例も確認されました。NOOPDOORはDNS-over-HTTPSを使用し、コマンド・コントロール活動中のIPアドレスのルックアップを隠します。
MirrorFaceは中国系の攻撃グループEarth Kashaとも呼ばれ、APT10のサブクラスターとされています。彼らは情報盗難を目的に攻撃の範囲を広げており、日本や台湾の機関に対する攻撃が続いています。組織や企業は、高価値資産を守るためのセキュリティ対策を強化する必要があります。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 08 May 2025 16:02:00 +0530
Original URL: https://thehackernews.com/2025/05/mirrorface-targets-japan-and-taiwan.html
詳細な技術情報
この文章から、以下の重要なセキュリティに関する詳細情報が抽出されます。
脆弱性とCVE番号
この文章では具体的なCVE番号は特定されていません。しかし、APT10に関連する既存の脆弱性やツール(例えばCobalt StrikeやSharpHide)に関する詳細は別途CVEデータベースで確認する必要があります。
脆弱性の仕組み
- バックドアの挿入: ROAMINGMOUSEは、ANELLDRを利用したDLLサイドローディングによりANEバックドアをインストールする。
- 攻撃の進行: スピアフィッシングメールにより、OneDrive URL経由でマルウェアをダウンロードさせる。
- メモリー内実行: 組み込みZIPファイルをBase64デコードし、ZIPアーカイブを展開し、別の悪意あるコンポーネント(BOF)をメモリ内で実行することで、新たなエクスプロイト機能を追加。
攻撃手法
- スピアフィッシングメール送信: 正当なものに見せかけたフィッシングメールを送信。
- マルウェア配布: Microsoft OneDriveのURLからZIPファイルをダウンロードさせ、マクロで起動されるExcel文書内に埋め込む。
- DLLサイドローディング: 正当な実行ファイルによるANELLDRのサイドローディングでANEを実行。
- オープンソースツールの利用: SharpHideを利用してNOOPDOORを起動し、C2通信でDNS-over-HTTPSを用い隠蔽。
潜在的な影響
- 情報漏洩: 政府機関や公共機関からの機密情報流出。
- 持続的なスパイ活動: 標的内部の詳細な情報収集や無断利用。
- 国家安全保証の脅威: APT10に関連する国家支援型アクターによる持続的攻撃。
推奨される対策
- メールセキュリティの強化: スピアフィッシング対策としてメールフィルタリングシステムの導入。
- ソフトウェア更新とパッチ適用: 定期的なシステムおよびソフトウェアの最新化。
- セキュリティアウェアネス: 職員向けのセキュリティ教育や認識向上トレーニングの実施。
- ネットワーク監視と異常検知: SIEM(Security Information and Event Management)システムの活用。
- 多層防御戦略の実装: ファイアウォール、IDS/IPS、アンチウイルスの統合による多層防御。
この分析に基づき、特に情報価値の高いデータを扱う組織は、攻撃のリスクを軽減するために総合的なセキュリティ対策を強化することが推奨されます。
