出典: Frank Hecker via Alamy Stock Photo
最近SAPのNetWeaverソフトウェアの悪用の背後にいる中国系の脅威アクターは、南アジアおよび東南アジア全域で組織が展開する未パッチのインターネットに公開されたサーバーを利用して、そのキャンペーンを拡大しています。
トレンドマイクロが「Earth Lamia」(ある種の甲虫にちなんで)と呼ぶこのグループは、2023年から存在しており、南アジアの金融サービス企業に対する攻撃を行っていました。しかし、昨年の中頃から「PulsePack」と呼ばれるカスタムバックドアの開発と、物流業界やオンライン小売業界へのターゲットのシフトにより、本格的に活動を開始しました。最近では、IT企業、大学、東南アジア全域の政府機関、インド、そしてなぜかブラジルに対しても、より多くの努力を注いでいます。
高度な持続的脅威(APT)のプロファイルに合致するかもしれませんが、Earth Lamiaの戦術、技術、手順(TTP)は極めて単純です: Webに公開されたサーバーの既知の脆弱性を悪用して、データをそのサーバーに流出させるスリムなバックドアを設置します。
Earth Lamiaのサイバーセキュリティ悪用
多くの場合、Earth LamiaはターゲットのウェブサイトでSQLインジェクションの機会を探してスキャンを行い、“sqlmap”のようなオープンソース(OSS)ツールを使用します。開口部を見つけると、シェルをドロップして基盤となるSQLサーバーへのリモートアクセスを取得します。
関連記事:‘CoGUI’フィッシングキットが日本をターゲットにする中国のハッカーを支援
SQLインジェクションでない場合、このグループはインターネットに公開されたサーバーの他の既知の脆弱性を悪用することでも知られています。Craft CMS、CyberPanel、JetBrains、WordPressに影響を与える2024年のバグを複数悪用しています。最も古いものはCVE-2017-9805とCVE-2021-22205で、Apache Struts2とGitLabに影響を与えるリモートコード実行(RCE)バグです。最新のものはCVE-2025-31324で、SAPのコード不要のWebアプリケーション構築ツールNetWeaver Visual Composerにおける認証されていないファイルアップロードの脆弱性です。CVE-2025-31324は先月、共通脆弱性評価システム(CVSS)で「クリティカル」9.8/10の評価を受けました。
どのバグを悪用するかを選ぶ際に見せる同様の機会主義は、どの種類の組織をターゲットにするかにも適用されるかもしれません。「金融サービスは政府や教育のような他の業界よりもセキュリティが高い傾向があるため、彼らはより柔らかいターゲットを探している可能性があります」と、トレンドマイクロの脅威インテリジェンス担当副社長のJon Clayは考えています。「彼らが探している情報は、金融や小売から新しい業界内に一般的に見られる他の種類のデータに変わった可能性もあります。」
関連記事:Billbug、東南アジアでサイバースパイ活動を拡大
OSSツールとカスタムバックドア
サーバーへのアクセスを成功裏に取得した後、Earth Lamiaは追加のツールをダウンロードし、資格情報を盗み、イベントログをクリアします。特権昇格、ネットワークスキャン、プロキシトンネルの確立にはOSSツールを使用します。これらのOSSプログラムがシグネチャベースのサイバーセキュリティプログラムによって検出される可能性を減らすために、脅威アクターは不要な静的文字列を削除し、他の文字列を難読化します — それでもプロファイルを変えるわずかな変更です。
特に注目すべきは、昨年8月から、脅威アクターが「PulsePack」と呼ばれる新しいカスタムバックドアを使用し始めたことです。出荷時の状態で、PulsePackはバックドアとしては非常に質素で、コマンド&コントロール(C2)サーバーに接続するために必要な機能のみを含んでいます。感染したシステムに関する基本情報と、インストールされているアンチウイルスソフトウェアをC2に送信し、ここからすべての悪意のある機能は必要に応じて個別のプラグインとしてダウンロードできます。
今年、トレンドマイクロは、C2通信に異なるプロトコルを使用するPulsePackバックドアの新しいバリアントを発見し、Earth Lamiaが依然としてお気に入りのツールを積極的に開発していることを示しています。
数年存在しているにもかかわらず、Earth Lamiaに関する2つの重要な詳細は依然として謎のままです。第一に、他の既知の中国のAPTと類似点を共有しているかどうか。そして、より重要なのは、トレンドマイクロがEarth Lamiaがその侵入で何を達成しようとしているのか正確にはまだ知らないことです — スパイ活動、金銭目的のサイバー犯罪、またはまったく別の何かです。Clayは「確かに政府をターゲットにすることが動機である可能性が高い」と指摘しました。
翻訳元: https://www.darkreading.com/threat-intelligence/earth-lamia-exploits-sql-rce-bugs-asia