Last Updated on 2025-03-27 08:34 by TaTsu
ESETのセキュリティ研究者らは、中国に関連するAPT(高度持続的脅威)グループ「FamousSparrow」が、米国の業界団体とメキシコの研究機関を標的としたサイバー攻撃を実行したことを発見した。この攻撃は2024年7月に観測され、同グループは近年表立った活動が確認されていなかったため、注目を集めている。
FamousSparrowは、これまで文書化されていなかった2つの新しいバージョンのSparrowDoorバックドアを展開した。これらの新バージョンは以前のものと比較して大幅な進化を遂げており、コマンドの並列処理を実装している。
また、今回の攻撃では、FamousSparrowが初めてShadowPadバックドアを使用したことが確認された。ShadowPadは中国系の国家支援ハッカーグループ間で広く共有されているマルウェアである。
攻撃の初期アクセスとして、脅威アクターはIIS(インターネットインフォメーションサービス)サーバーにWebシェルを展開した。被害者組織はどちらも古いバージョンのWindows ServerとMicrosoft Exchange Serverを実行しており、これらには複数の公開されている脆弱性が存在していた。
FamousSparrowは2021年9月にESETによって初めて文書化されたグループで、ホテル、政府機関、国際組織、エンジニアリング企業、法律事務所などを標的にしてきた。
今回使用されたツールセットには、コマンド実行、ファイルシステム操作、キーロギング、ファイル転送、プロセスの一覧表示と終了、ファイルシステム変更の監視、スクリーンショット撮影などの機能を持つプラグインが含まれている。
from:New SparrowDoor Backdoor Variants Found in Attacks on U.S. and Mexican Organizations
【編集部解説】
FamousSparrowの活動再開は、サイバーセキュリティ業界に大きな衝撃を与えています。近年、表立った活動が確認されていなかったこのグループが、さらに高度化したツールセットを携えて再び現れたことは、サイバー脅威の継続的な進化を示しています。
特筆すべきは、SparrowDoorバックドアの新バージョンです。コマンドの並列処理機能を実装したことで、攻撃者はより効率的に標的システムを操作できるようになりました。これは、サイバー攻撃の速度と複雑さが増していることを意味しています。
また、FamousSparrowがShadowPadを初めて使用したことも注目に値します。ShadowPadは中国系国家支援ハッカーグループ間で共有されているマルウェアであり、この使用は異なるAPTグループ間の協力や技術共有の可能性を示唆しています。
この事案は、組織のサイバーセキュリティ対策の重要性を改めて浮き彫りにしています。被害を受けた組織が古いバージョンのWindows ServerとMicrosoft Exchange Serverを使用していたことは、適切なパッチ管理の必要性を強調しています。
一方で、このような高度な攻撃ツールの存在は、サイバーセキュリティ技術の進歩にもつながる可能性があります。防御側は攻撃手法を研究し、より強固なセキュリティシステムを開発する契機となるかもしれません。
しかし、こうした技術の悪用リスクも無視できません。国家間のサイバー攻撃や産業スパイ活動に利用される可能性があり、国際的な緊張を高める要因となる恐れがあります。
長期的には、このような事案の増加により、サイバーセキュリティに関する国際的な規制や協力体制の強化が求められるでしょう。また、AIやクラウド技術の発展に伴い、攻撃手法もさらに高度化することが予想されます。
私たちは、技術の進歩がもたらす恩恵と同時に、そのリスクにも常に注意を払う必要があります。innovaTopiaは今後も、最新のサイバーセキュリティ動向を追い続け、読者の皆様に有益な情報をお届けしてまいります。
【用語解説】
APT (Advanced Persistent Threat):
特定の組織や企業を長期的に狙う高度な持続的脅威。国家支援のハッカー集団によって行われることが多い。
バックドア:
システムに不正アクセスするための秘密の入り口。正規のセキュリティを迂回して侵入できる。家の裏口から忍び込むようなもの。
SparrowDoor:
FamousSparrowグループが使用する独自のバックドアマルウェア。スズメの扉という意味で、小さな隙間から侵入するイメージ。
ShadowPad:
中国系ハッカーグループが共有して使用するモジュール型マルウェア。影のように気づかれずに潜伏するという意味合い。
Webシェル:
Webサーバーに配置される悪意のあるスクリプト。攻撃者がサーバーを遠隔操作するために使用される。
【参考リンク】
ESET(外部)
セキュリティソフトウェア企業。FamousSparrowの活動を追跡し報告している。
Kaspersky: (外部)
ロシアのセキュリティ企業。ShadowPadの発見と分析で知られる。
【編集部後記】
皆さん、自社のセキュリティ対策は最新の状態ですか?今回のFamousSparrowの事例は、サイバー攻撃の進化を示す重要な警鐘です。古いシステムの放置がどれほど危険か、改めて考える機会かもしれません。皆さんの組織ではパッチ管理やセキュリティ監視をどのように行っていますか?また、こうした国家支援型の攻撃に対して、どのような防御策が有効だと思いますか?SNSでぜひ皆さんの意見や経験をシェアしていただければと思います。
