🛡 概要
中国の国家支援ハッキンググループ、Phantom Taurusが2年以上にわたり、政府機関や通信組織を標的にしたスパイ活動を行っていることが、Palo Alto Networksによって報告されています。このAPTは2023年に初めて観測され、その後、中国のハッカーグループとの共有インフラストラクチャにリンクされましたが、その戦術や手法は一般的に中国の脅威アクターに関連するものとは異なります。
🔍 技術詳細
Palo Alto Networksによると、Phantom Taurusは、スパイ活動を行うために特別に設計された異なるTTPを使用しており、SpecterやNet-Starマルウェアファミリー、Ntospyマルウェアを含む独自のツールセットを持っています。Net-Starは、IIS Webサーバーを標的にした.NETマルウェアスイートで、3つのWebベースのバックドアを含んでいます。IIServerCoreはファイルレスバックドアとして機能し、メモリ内で完全に動作します。攻撃者は、コマンド&コントロールサーバーに結果を送信し、ファイルシステム操作、データベースアクセス、任意のコード実行を行うことができます。また、AssemblyExecuter V1とV2を使用して、追加のコードを動的に読み込むことが可能です。
⚠ 影響
このAPTは、アフリカ、中東、アジアの組織を攻撃し、興味のあるメッセージを抽出するためにメールサーバーを標的にしたり、データベースに直接アクセスしたりしています。Phantom Taurusは、外交通信や防衛関連の情報に特に関心を持っており、その活動のタイミングや範囲は、重要な国際的イベントや地域の安全問題としばしば一致します。このため、影響を受ける組織は、国家の安全保障や外交政策に対する脅威にさらされる可能性があります。
🛠 対策
組織は、Phantom TaurusのようなAPTに対抗するために、適切なセキュリティ対策を講じる必要があります。具体的には、侵入検知システムやファイアウォールの強化、定期的なセキュリティパッチの適用、そして従業員に対するサイバーセキュリティ教育を実施することが重要です。また、異常なネットワークトラフィックや不審な活動を監視し、迅速に対応するための体制を整えることも必要です。これにより、APTの活動を早期に検知し、被害を最小限に抑えることが可能になります。
