Source: https://thehackernews.com/2025/10/hackers-used-snappybee-malware-and.html
🛡 概要
2025年7月の初旬、欧州の通信組織が中国に関連するサイバー諜報グループ「Salt Typhoon」によって標的にされました。この攻撃者は、Citrix NetScaler Gatewayの脆弱性を悪用して初期アクセスを取得し、深い持続性を持つ攻撃を展開しました。Salt Typhoonは、2019年から活動を開始し、米国の通信サービス提供者やエネルギー網、政府システムに対する攻撃で知られています。
🔍 技術詳細
攻撃者は、Citrix Virtual Delivery Agent (VDA)ホストへのピボットを行い、SoftEther VPNを使用してその真の起源を隠しました。攻撃に使用されたマルウェアファミリーの一つがSnappybee(別名Deed RAT)であり、これは以前のSalt Typhoon攻撃で使用されたShadowPad(別名PoisonPlug)マルウェアの後継と考えられています。Snappybeeは、DLLサイドローディング技術を用いて配信され、正当なアンチウイルスソフトウェアの実行可能ファイルとともに内部エンドポイントに配布されました。具体的には、Norton AntivirusやBkav Antivirus、IObit Malware Fighterなどのファイルと共にDLLが配信されました。
⚠ 影響
この攻撃により、標的となった通信組織は、重要なデータの流出やシステムの侵害のリスクにさらされました。Salt Typhoonのような高度な持続的脅威(APT)は、80カ国以上で活動しており、特に北米、ヨーロッパ、中東、アフリカで影響を及ぼしています。攻撃者は、正当なツールやインフラを悪用する能力を持ち、従来の手法では検出が困難です。このような脅威は、組織に深刻な損害を与え、長期的な影響を及ぼす可能性があります。
🛠 対策
このような攻撃から身を守るためには、まずは最新のセキュリティパッチを適用し、脆弱性を悪用されるリスクを軽減することが重要です。また、DLLサイドローディングを防ぐために、正当なソフトウェアの監視を強化し、異常なアクティビティを検出するための高度なログ分析を実施することが推奨されます。さらに、従業員へのセキュリティ教育を行い、フィッシング攻撃や悪意のあるソフトウェアのリスクについて認識を高めることも効果的です。これにより、攻撃者の戦術に対抗し、組織のセキュリティを強化することができます。
