innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

Symantec・Cisco Talos・Bitdefender:Billbug(Lotus Panda)による東南アジア標的型サイバー諜報攻撃の最新動向

Symantec・Cisco Talos・Bitdefender:Billbug(Lotus Panda)による東南アジア標的型サイバー諜報攻撃の最新動向 - innovaTopia - (イノベトピア)

Last Updated on 2025-05-01 17:02 by admin

中国系サイバー諜報グループ「Billbug(別名:Lotus Panda、Lotus Blossom、Bronze Elgin)」が、2024年8月から2025年2月にかけて東南アジアの政府機関や重要インフラ、民間企業を標的としたサイバー攻撃キャンペーンを展開した。

主な標的は政府省庁、航空管制機関、通信事業者、建設会社、ニュース機関、航空貨物会社など。Billbugは独自開発のマルウェア(Sagerunexバックドア、Elise、Hannotogなど)やChromeブラウザの認証情報を盗むツール(ChromeKatz、CredentialKatz)、リバースSSHツール、datechanger.exeによるタイムスタンプ改ざんなど複数の新しいカスタムツールを使用した。

また、正規のセキュリティソフト(Trend Micro、Bitdefenderなど)の古い実行ファイルを悪用し、DLLサイドローディング手法でマルウェアを実行していた。

この攻撃は2023年10月以降に観測されていた一連のキャンペーンの継続とみられ、SymantecやCisco Talosなどのセキュリティ企業が調査・分析を行っている。

Billbugは2009年頃から活動が確認されており、これまでに50件以上の攻撃を実行、東南アジアの政府・軍事・通信・重要インフラ分野を中心に標的としてきた。

from:Billbug Expands Cyber-Espionage Campaign in Southeast Asia

【編集部解説】

Billbugは、中国と関係があるとされる高度なサイバー諜報グループです。2024年から2025年にかけての最新キャンペーンでは、東南アジアの政府や重要インフラ、民間企業を標的に、独自開発のマルウェアや認証情報窃取ツール、リバースSSHツールなど多彩な攻撃手法を駆使しています。

DLLサイドローディングによる正規ソフトの悪用や、datechanger.exeによるタイムスタンプ改ざんなど、検知回避のための高度な技術も確認されています。

Billbugの活動は、単なる一過性の攻撃ではなく、2015年以前から続く長期的かつ持続的な諜報活動の一環です。特に東南アジア地域の地政学的な緊張が高まる中、国家間の情報戦やサイバーリスクが現実の脅威として顕在化しています。

攻撃の動機は「情報の窃取」とされ、デジタル証明書認証局への攻撃など、国家や社会インフラの根幹に関わる重大なリスクも浮き彫りになっています。

DLLサイドローディングのような手法は、正規のソフトウェアの信頼性を逆手に取るものであり、従来のセキュリティ対策だけでは防ぎきれないケースも増えています。

今後もBillbugのようなグループは、新たなツールや手法を取り入れつつ、標的を拡大していくと考えられます。サイバーセキュリティの観点からは、OSやソフトウェアの最新化、多層防御、未知のファイルの実行制限など、より実践的な対策が求められるでしょう。

【用語解説】

Billbug(ビルバグ)/Lotus Panda/Lotus Blossom/Bronze Elgin
中国と関係があるとされるサイバー諜報グループ。2009年頃から活動し、東南アジアの政府や重要インフラを主に標的とする。

サイバー諜報(Cyber Espionage)
国家や組織の機密情報をサイバー攻撃で盗み出す行為。デジタル時代のスパイ活動といえる。

DLLサイドローディング(DLL Side-loading)
正規ソフトの実行ファイルと一緒に悪意あるDLLを配置し、ソフトがそれを読み込むことで攻撃者のコードを実行させる手法。

Sagerunex(サガルネックス)
Billbugが使うカスタムバックドア型マルウェア。遠隔操作や情報窃取が可能で、DropboxやX、Zimbraなど正規サービスを悪用して通信する。

Credential Stealer(クレデンシャル・スティーラー)
パスワードやクッキーなど認証情報を盗むマルウェア。ChromeKatzやCredentialKatzなどが該当する。
リバースSSHツール
攻撃対象のPCから攻撃者側へSSH接続を張り、外部から内部ネットワークへアクセスできるようにするツール。

【参考リンク】

Symantec(Broadcom)(外部)
エンタープライズ向けの多層防御型サイバーセキュリティ製品を提供。

Cisco Talos(外部)
Ciscoの脅威インテリジェンス部門。最新の攻撃手法や脅威情報を公開。

Bitdefender(外部)
法人・個人向けにウイルス対策やID保護、オンラインプライバシーソリューションを提供。

【参考動画】

【編集部後記】

サイバー攻撃の脅威は、私たちの身近な社会や仕事の現場にも確実に迫っています。
みなさんは普段、どんなセキュリティ対策を意識していますか?
innovaTopia編集部は、みなさんと一緒に「知ること」から始め、未来の安心につながる情報をこれからもお届けしていきます。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
TaTsu
デジタルの窓口 代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Symantec・Cisco Talos・Bitdefender:Billbug(Lotus Panda)による東南アジア標的型サイバー諜報攻撃の最新動向

Latest News