世界的なエネルギーセキュリティの激しい競争の中で、パッチが未適用のサーバーは執拗なサイバースパイの開いた扉となっています。
最近、FamousSparrowとして知られている中国関連の脅威行為者が、名前の明かされていないアゼルバイジャンの石油・ガス企業に対して極めて粘り強いサイバー攻撃を仕掛けました。
2025年12月下旬から2026年2月下旬までの間に暗躍した攻撃者たちは、Microsoft Exchangeサーバーの脆弱性を繰り返し悪用してターゲットネットワークに侵入しました。
攻撃者は、広く知られているProxyNotShellとProxyShellの欠陥を悪用して初期アクセスを獲得し、ソフトウェアパッチの遅延がもたらす深刻な危険性を実証しました。
この侵入は3つの異なるフェーズで展開され、被害者のネットワークを支配し続けようとする攻撃者の決意が証明されました。
最初の波の間、FamousSparrowはDeed RATとして知られている悪質なバックドアを展開しました。セキュリティアラームを発動させないために、ハッカーたちは高度な「DLLサイドローディング」技術を使用しました。
正当なLogMeIn Hamachi アプリケーションバイナリ(LMIGuardianSvc.exe)を乗っ取ることで、彼らはシステムに悪意のあるコードを読み込ませるようにだまし取りました。
この進化した手法は、ホストアプリケーションの自然な起動プロセスを待ってからトリガーされ、コードの一部のみを検査する自動セキュリティサンドボックスを効果的にバイパスします。
防御者がネットワークをクリーンアップしようとしたとき、ハッカーたちは1ヶ月後に同じパッチが未適用のExchangeサーバーを通じて再び侵入しました。このセカンドウェーブでは、彼らはMofuという名前のシェルコードローダーを使用して、Terndoorという異なるマルウェアファミリーを展開しようとしました。
この試みはセキュリティソフトウェアによってほぼ阻止されましたが、攻撃者たちは2026年2月下旬に3度目の試行を行いました。
このファイナルウェーブでは、新たに修正されたDeed RATのバージョンが導入され、正当なセキュリティベンダーのように見せかけた意図的に設計されたコマンド・アンド・コントロールサーバーと通信しました。
セキュリティチームがこれらの脅威を追跡するのを支援するために、研究者たちは攻撃から重要な技術的データを抽出しました。以下は、このキャンペーン中に観察された主要な侵害指標(IOC)の構造化テーブルです。
翻訳元: https://cyberpress.org/exchange-flaw-breaches-energy/
