ーTech for Human Evolutionー

最新ニュース一覧

人気のカテゴリ

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーと社会
ロボティクス
ヘルスケア
ブロックチェーン
半導体
もっと見る

人気のタグ

著作権 今日は何の日 インタビュー Google Apple AWS OpenAI Anthropic Meta Microsoft XREAL Android_XR Nvidia

ホーム » サイバーセキュリティ » サイバーセキュリティニュース »

サウジアラビアの慈善団体、未知のスパイ活動の標的に – 「Zardoor」バックドア使用でデータ抽出

Last Updated on 2024-02-14 08:07 by

セキュリティ研究者たちは、サウジアラビアに拠点を置くイスラム教の慈善非営利団体を標的とした長期にわたるステルスなスパイ活動を発見した。この活動は2021年3月から活動しており、これまで報告されていないカスタムバックドア「Zardoor」を使用していることがCisco Talosによって報告された。このマルウェアは、被害団体から約2ヶ月に一度データを抽出している。

この攻撃は、改造されたリバースプロキシツールの展開と2年以上の検出回避能力を持つことから、高度な攻撃者によるものと考えられる。Zardoorマルウェアの他の被害者はまだ特定されていない。

リバースプロキシツールの使用は、いくつかの中国の高度な持続的脅威(APT)グループの戦術と一致しているが、選択された標的は中国のスパイ活動グループの既知の目的とは一致しない。リバースプロキシは、複雑なシステムやアプリケーションアーキテクチャでロードバランサとして通常使用されるが、悪意のあるアクターは、RDPサーバー、ドメインコントローラー、ファイル、またはデータベースサーバーなど、侵害されたネットワーク上の到達不可能なシステムとの通信を設定するためにこの技術を悪用する。

Zardoorキャンペーンは、未知の攻撃ベクトルで始まり、攻撃者はその後、Fast Reverse Proxy(FRP)、カスタマイズされたSocks Linuxサーバー、およびセキュリティ監査を実行するための侵入テストツールであるVenomなどのオープンソースリバースプロキシツールを使用して、攻撃のためのコマンドアンドコントロールメカニズムを設定した。攻撃者は、Windows Management Instrumentation(WMI)を使用して横方向の移動を行い、Zardoorマルウェアを植え付けた。

Zardoorは、攻撃者のコマンドアンドコントロール(C2)セットアップと通信する永続的なバックドアを確立し、更新されたマルウェアパッケージの展開やデータの抽出などのコマンドを発行することを可能にする。このマルウェアは、暗号化されたデータを掴み、攻撃者のC2インフラストラクチャにアップロードするようにプログラムされている。

Ciscoは、Zardoorマルウェアの検出を自社のエンタープライズセキュリティツールに追加し、侵害の兆候を公開した。これにより、他のベンダーコミュニティも同様の検出および対応機能を追加することが期待される。

【ニュース解説】

サウジアラビアに拠点を置くイスラム教の慈善非営利団体が、2021年3月からステルスなスパイ活動の標的となっていることが発覚しました。この活動は、これまでに報告されていないカスタムバックドア「Zardoor」を使用しており、被害団体から約2ヶ月に一度データを抽出しています。この攻撃は、改造されたリバースプロキシツールの展開と2年以上の検出回避能力を持つことから、高度な攻撃者によるものと考えられます。

リバースプロキシツールは、通常、複雑なシステムやアプリケーションアーキテクチャでロードバランサとして使用されますが、悪意のあるアクターはこの技術を悪用して、侵害されたネットワーク上の到達不可能なシステムとの通信を設定します。このような攻撃手法は、中国やロシア、北朝鮮、イランなどの国家支援の高度な持続的脅威(APT)グループによっても使用されています。

Zardoorキャンペーンは、未知の攻撃ベクトルから始まり、攻撃者はオープンソースのリバースプロキシツールを使用してコマンドアンドコントロールメカニズムを設定しました。攻撃者は、Windows Management Instrumentation(WMI)を使用して横方向の移動を行い、Zardoorマルウェアを植え付けました。このマルウェアは、攻撃者の指示に従ってデータを抽出し、暗号化されたデータを攻撃者のインフラストラクチャにアップロードするように設計されています。

この事件の発覚により、CiscoはZardoorマルウェアの検出を自社のセキュリティツールに追加し、侵害の兆候を公開しました。これにより、セキュリティ業界全体で同様の検出および対応機能が追加されることが期待されます。

この事件は、非営利団体や慈善団体がサイバー攻撃の標的になり得ることを示しており、特に国家支援の攻撃者による高度なスパイ活動のリスクを浮き彫りにしています。このような攻撃は、被害団体の運営に重大な影響を及ぼすだけでなく、個人情報や機密情報の漏洩につながる可能性があります。したがって、組織はセキュリティ対策を強化し、定期的なセキュリティ監査を実施することが重要です。また、セキュリティコミュニティは、新たに発見される脅威に対して迅速に対応し、情報共有を通じて防御策を強化する必要があります。

from Islamic Nonprofit Infiltrated for 3 Years With Silent Backdoor.

投稿者アバター
admin
自己紹介の全文を表示

“サウジアラビアの慈善団体、未知のスパイ活動の標的に – 「Zardoor」バックドア使用でデータ抽出” への1件のコメント

  1. 高橋 真一のアバター
    高橋 真一

    サウジアラビアに拠点を置くイスラム教の慈善非営利団体を標的としたこのステルスなスパイ活動は、サイバーセキュリティの脅威がますます高度化している現状を示しています。特に、カスタムバックドア「Zardoor」を使用したこの攻撃は、長期にわたり検出を回避していた点で顕著です。このような攻撃者がリバースプロキシツールを改造し、標的の組織内で横方向の移動を行いながらデータを抽出していたという事実は、セキュリティ対策の重要性を一段と高めます。

    リバースプロキシツールの悪用は、侵害されたネットワーク内でのコミュニケーション設定に利用されることで、攻撃者にとって非常に有効な手段となります。この攻撃が、国家支援の高度な持続的脅威(APT)グループの戦術と一致する部分もありますが、標的となったのがイスラム教の慈善非営利団体である点は特に注目に値します。これは、サイバースパイ活動が政府機関や大企業だけでなく、非営利団体や慈善団体にも及ぶことを物語っています。

    この事件から学べる教訓は、組織がセキュリティ対策を強化し、定期的

読み込み中…
読み込み中…