Source: https://thehackernews.com/2025/10/chinese-hackers-exploit-arcgis-server.html
🛡 概要
中国に関連する脅威アクターが、ArcGISシステムを侵害し、1年以上にわたりバックドアとして利用している新たなキャンペーンが報告されています。この活動は、Flax Typhoonと呼ばれる中国の国家支援ハッキンググループによるもので、Ethereal PandaやRedJuliettとも追跡されています。アメリカ政府によると、このグループは北京に本拠を置く公開企業であるIntegrity Technology Groupと評価されています。
🔍 技術詳細
Flax Typhoonは、地理情報アプリケーションのJavaサーバーオブジェクト拡張(SOE)を巧妙に改造し、機能するウェブシェルを作成しました。ReliaQuestによると、攻撃者は標準の[JavaSimpleRESTSOE] ArcGIS拡張を使用して悪意のあるSOEを起動し、公開ポータル経由で内部サーバー上でコマンドを実行しました。この手法により、攻撃者は他の侵入者や管理者からアクセスを隠蔽し、深い持続性を確保しました。また、攻撃者は「bridge.exe」という名前のSoftEther VPN実行ファイルを「System32」フォルダーにアップロードし、自動的に起動するサービス「SysBridge」を作成することで、持続的なアクセスを実現しました。
⚠ 影響
この攻撃は、攻撃者が信頼されたツールやサービスを悪用し、セキュリティ対策を回避して被害者のシステムに不正アクセスする手法の進化を示しています。具体的には、IT担当者のワークステーションにターゲットを絞り、資格情報を取得してネットワーク内にさらに浸透しました。さらに、管理者アカウントにアクセスし、パスワードをリセットすることも可能でした。このような攻撃は、従来の検出手法を回避するために正当なシステム機能が武器化される危険性を浮き彫りにしています。
🛠 対策
このような攻撃に対抗するためには、システムの監視とログ分析を強化し、異常な活動を早期に発見することが重要です。また、ユーザーアカウントの管理やパスワードポリシーの厳格化も必要です。特に、管理者アカウントへのアクセスを制限し、定期的にパスワードを変更することが推奨されます。さらに、信頼できるツールの使用に関して慎重な評価を行い、必要に応じてセキュリティパッチを適用することが重要です。攻撃者が利用する手法を理解し、セキュリティ意識を高めることで、リスクを低減することができるでしょう。
