記事本文(要約)
中国系の脅威アクター「Earth Lamia」が、SAPのNetWeaverソフトウェアの脆弱性を悪用し、南アジアと東南アジアの各国で未修正のインターネットに公開されたサーバーをターゲットに攻撃を拡大しています。主に金融業界を狙っていたこのグループは、近年物流やオンライン小売、さらにはIT企業、大学、政府機関を攻撃対象にしています。
彼らの戦術は主にSQLインジェクションやウェブサーバーの既知の脆弱性を利用し、データを流出させるバックドアを設置するというものです。過去にCVE-2017-9805(Apache Struts2)やCVE-2021-22205(GitLab)などの脆弱性を悪用し、最近ではCVE-2025-31324というSAPのNetWeaver Visual Composerにおける未認証ファイルアップロードの脆弱性を利用しています。この脆弱性はCVSSで9.8と評価されています。
「PulsePack」というカスタムバックドアを使用し、接続されたコマンド・アンド・コントロール(C2)サーバーに基本情報を送信し、必要に応じてプラグインを追加して機能を拡張します。また、OSSツールを活用し、権限昇格やネットワークスキャンを行います。
Earth Lamiaの最終的な目的は明らかではないものの、政府機関を狙う可能性が動機に含まれていると考えられています。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 30 May 2025 20:13:59 GMT
Original URL: https://www.darkreading.com/threat-intelligence/earth-lamia-exploits-sql-rce-bugs-asia
詳細な技術情報
分析した文章に基づいて、以下にセキュリティに関する重要な詳細情報を日本語で説明します。
CVE番号と脆弱性の仕組み
- CVE-2017-9805: Apache Struts2におけるリモートコード実行(RCE)脆弱性。この脆弱性を利用することで、攻撃者は任意のコードを実行できる可能性があります。
- CVE-2021-22205: GitLabにおけるRCE脆弱性。画像ファイル処理に問題があり、攻撃者は不正なコードを実行することが可能です。
- CVE-2025-31324: SAPのNetWeaver Visual Composerにおける未認証のファイルアップロード脆弱性。この脆弱性により、攻撃者は任意のファイルをサーバーにアップロードし、それを介して不正な操作を行うことができます。
攻撃手法
- SQLインジェクション: Earth LamiaはSQLインジェクションを使用して対象のウェブサイトに侵入し、SQLサーバーにリモートアクセスするためのシェルを設置します。OSSツール「sqlmap」が使用されます。
- 未パッチのサーバー攻撃: インターネットに公開されたサーバーの既知の脆弱性を悪用し、バックドアを設置してデータを外部のサーバーに送信します。
- PulsePackバックドア: このカスタムバックドアは、最小限の機能を持ちながらC2サーバーと接続し、必要に応じてプラグインをダウンロードしてさらなる機能を実行します。
潜在的な影響
- データ漏洩: 機密性の高いデータが外部サーバーに送信され、組織の情報漏洩に繋がる可能性があります。
- システムの完全性と可用性の低下: 不正なコードの実行により、システムが攻撃者に完全に制御される恐れがあります。
- 経済的損失: 組織の運営に支障が生じる結果から、経済的な損失を被る可能性があります。
推奨される対策
- 脆弱性パッチの適用: すべてのシステムとウェブアプリケーションに対して、既知の脆弱性に対するパッチを迅速に適用することが重要です。
- 監視とログ管理: サーバーアクセスログやシステムイベントログを定期的に監視し、異常を検知する仕組みを整えます。
- 侵入検知システムの導入: IDS/IPSを導入し、異常な行動の早期検出を目指します。
- セキュリティ意識向上: 社員へのセキュリティ教育を行い、フィッシングやソーシャルエンジニアリング攻撃に対する意識を高めます。
- バックアップの徹底: 定期的なデータバックアップとその安全な保管を行い、データ消失時の復旧を可能にします。
