TokyoBlackHatNews

海外のセキュリティニュースをお届けします

infosecurity-magazine-com

中国のAPTアクターが新型ファイルレスマルウェアツールセットで軍事企業を侵害

Byt0ddycat

9月 11, 2025 #Bitdefender, #China-nexus Cyber Espionage, #Chinese APT, #Command and control (C2), #DLL sideloading, #EggStreme, #Fileless Malware, #Living off the Land, #military cybersecurity, #Philippines

中国のAPTグループが、フィリピンを拠点とする軍事企業を新型で高度なファイルレスマルウェアフレームワーク「EggStreme」を用いて侵害したと、Bitdefenderの研究者が警告しています。

この多段階ツールセットは、悪意のあるコードを直接メモリに注入し、DLLサイドローディングを利用してペイロードを実行することで、持続的かつ目立たないスパイ活動を実現します。

これらのペイロードには「EggStremeAgent」と呼ばれるバックドアが含まれており、システムの広範な偵察、横移動、注入型キーロガーによるデータ窃取を可能にします。

研究者によると、このフレームワークが採用したモジュール型、ファイルレス、Living-off-the-land(LOTL)アプローチは、攻撃者の手法における重要な変化を示しています。

「この脅威は個々の実行ファイルの集合ではなく、正規ツールやシステムの挙動を利用して検知を回避する動的で多段階のオペレーションです」と彼らは指摘しています。

標的の戦略的価値、南シナ海に隣接するその位置、攻撃に用いられた戦術は、中国のAPTグループの特徴と一致しています。

「攻撃者の主な目的は、長期的なスパイ活動と監視のための持続的なアクセスの確保であり、これは既知の国家的利益と一致する高度なプロフェッショナル脅威アクターの活動を示しています」と研究者は付け加えました。

ファイルレスマルウェアの展開方法

Bitdefenderのレポート(9月10日公開)によると、同社の調査は2024年初頭、SMB共有からログオンバッチスクリプトの実行を検知したことから始まりました。

そのスクリプトがSMB上に配置された正確な方法は不明です。

スクリプトの主な機能は、2つのファイルをWindowsディレクトリに配置することでした。そのうちの1つが、mscorsvc.dllという名前の悪意あるDLLでした。

この悪意あるmscorsvc.dllは攻撃チェーンの第一段階であり、「EggStremeFuel」と名付けられ、最終ペイロードのための環境を整えます。

EggStremeFuelコンポーネントには、システムフィンガープリント機能が含まれており、攻撃者が侵害されたマシンの情報を収集できます。

最も重要な機能は、リバースシェルを確立し、読み書きパイプを使ってコマンド&コントロール(C2)サーバーとの通信チャネルを作成することです。これにより、攻撃者は侵害されたシステム上でリモートコマンドラインインターフェース(CLI)を利用できます。

APTアクターは、デフォルトでは有効になっていない複数の正規Windowsサービスを悪用することで持続的なアクセスを維持しました。これにより、通常のシステム動作に紛れながらアクセスを維持できました。

攻撃者はその後、「EggStremeLoader」と呼ばれる悪意あるバイナリを展開しました。このコンポーネントは、暗号化された「EggStremeReflectiveLoader」とEggStremeAgentペイロードの両方を含むファイルを読み込む役割を担います。

最終的なEggStremeAgentインプラントは、高度なバックドアであり、オープンソースのリモートプロシージャコール(RPC)構築フレームワークであるgRPCプロトコルを使ってC2サーバーと通信します。

このマルウェアは、システムフィンガープリント、権限昇格、コマンド実行、データ流出、プロセスインジェクションなど、58種類のコマンドをサポートしています。

複数のマシンには、より軽量なセカンダリバックドア「EggStremeWizard」も展開されました。このセカンダリバックドアは、リバースシェルアクセスやファイルのアップロード/ダウンロード機能を提供します。

「このキャンペーンの成功は、個別のインプラントの集合ではなく、高度に連携したマルウェアツールキットの直接的な成果です。各コンポーネントは、初期実行と持続性の確立から、メモリ内ペイロードの配信、最終的なリモートコマンド&コントロールまで、攻撃チェーンの中で明確な役割を果たしています。詳細な分析により、各コンポーネント間の強い結びつきが明らかになり、単一の統一された開発努力が示唆されます」と研究者は述べています。

EggStremeツールキットへの防御方法

Bitdefenderは、EggStremeのような高度なファイルレスマルウェアツールキットに対抗するため、セキュリティチーム向けに一連の推奨事項を提供しています。これには以下が含まれます:

  • 正規だがリスクの高いバイナリの使用を制限し、攻撃対象領域を積極的に縮小する
  • 複雑な攻撃チェーンを特定し、予防層を回避する行動異常を検知できる検知・対応能力を導入する

翻訳元: https://www.infosecurity-magazine.com/news/chinese-apt-military-fileless/

By t0ddycat

Related Post

infosecurity-magazine-com

CISAがCVEプログラムのロードマップを発表

9月 12, 2025 t0ddycat
infosecurity-magazine-com

ファイルレスマルウェアが正規ツールを利用して高度なRATを展開

9月 12, 2025 t0ddycat
infosecurity-magazine-com

ワイデン議員、アセンションへのランサムウェア攻撃を受けFTC調査を要請

9月 12, 2025 t0ddycat

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です


You missed

darkreading.com

Vidarインフォスティーラー、復讐のごとく再来

2025年9月12日 t0ddycat
cyberscoop-com

F5、AIセキュリティ企業CalypsoAIを1億8,000万ドルで買収へ

2025年9月12日 t0ddycat
bleepingcomputer.com

Microsoft、Teamsのプライベートチャットに悪意のあるリンク警告を追加

2025年9月12日 t0ddycat
bleepingcomputer.com

AkiraランサムウェアがSonicWall SSLVPNの重大な脆弱性を再び悪用

2025年9月12日 t0ddycat