Source: https://thehackernews.com/2025/09/phantom-taurus-new-china-linked-hacker.html
🛡 概要
ファントム・トーラスは、中国に関連する新たな国家対抗者であり、アフリカ、中東、アジアの政府および通信機関を標的とした攻撃を行っている。このグループは、過去2年半にわたり、外交機関や軍事関連の情報を狙ったサイバースパイ活動を展開してきた。特に、外務省や大使館を中心に、地政学的イベントや軍事作戦に関連する情報収集に注力している。Palo Alto Networksのリサーチによれば、ファントム・トーラスの攻撃は巧妙で持続的であり、手法を迅速に適応させる能力を持っているという。
🔍 技術詳細
ファントム・トーラスは、独自に開発されたマルウェアスイート「NET-STAR」を使用している。このマルウェアは、特にIISウェブサーバーを狙い、ProxyLogonやProxyShellといった既知の脆弱性を悪用している。CVE情報は現在のところ特定されていないが、過去の侵入から、グループは常に新しい手法を模索していることが示唆されている。攻撃手法としては、データベースへの直接的な攻撃があり、特に特定の国に関連する情報をターゲットにしている。NET-STARは、IIS環境にアクセスするための3つのウェブベースのバックドアを含み、それぞれが異なる機能を持っている。
⚠ 影響
ファントム・トーラスの攻撃は、政府機関における機密情報の漏洩や、外交機関の活動に対する重大な脅威をもたらしている。このグループの活動は、戦略的に重要な国のデータを収集することを目的としており、その影響は国際的な安全保障にも波及する可能性がある。セキュリティアナリストやデジタルフォレンジックツールに対する混乱を引き起こす能力を持つため、攻撃の検出と防止が非常に困難である。
🛠 対策
この脅威に対抗するためには、まずIISおよびMicrosoft Exchangeサーバーの脆弱性を速やかに修正することが重要である。また、最新のセキュリティパッチを適用し、異常なトラフィックを監視することで、早期発見を図る必要がある。従業員へのセキュリティ教育を実施し、フィッシング攻撃や社会工学的手法に対する意識を高めることも推奨される。さらに、セキュリティインシデントに対する迅速な対応を可能にするため、インシデントレスポンス計画を策定し、定期的に訓練を行うことが重要である。
