-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
9月11日:サイバーセキュリティ関連ニュース
中国APT、フィリピン軍事企業のシステムにファイルレスマルウェアEggStremeを展開
The Hacker News – Sep 10, 2025
中国のAPTグループが使用する新たなファイルレスマルウェアフレームワーク「EggStreme」について、Bitdefenderの研究者らが報告。この多段階ツールセットは、悪意あるコードをメモリへ直接注入し、DLLサイドローディングを利用してペイロードを実行することにより、検知されにくい状態を保ったままスパイ活動を実施することができるという。
Bitdefenderは、フィリピンに拠点を置くある軍事企業への巧妙なサイバー攻撃を分析したところ、このフレームワークを発見。同被害企業の戦略的価値と南シナ海における地政学的な文脈を踏まえ、攻撃者のTTPが中国のAPTグループのものと一致していると結論付けたという。Bitdefenderによれば、攻撃者の1番の狙いは長期的なスパイ活動および偵察活動のために永続的なアクセスを確立することであり、攻撃者は国家的な思惑と重なり合う目的を抱いていたとみられている。
EggStremeは多段階のツールセットで、感染マシン上に「強固な足場」を確立することを意図して設計された、緊密に統合された有害なコンポーネント群と説明されている。第1段階となるのは「EggStremeFuel(mscorsvc.dll)」と呼ばれるペイロードで、これがシステムのプロファイリングを実施し次段階のEggStremeLoaderをデプロイ。これにより復号・実行されるEggStremeReflectiveLoaderが最終ペイロードのための中間段階的な役割を果たし、最後にEggStremeAgentが起動する。
Bitdefenderは、EggStremeAgentをEggStremeフレームワークの「中枢神経系」と表現。新たなユーザーセッションをモニタリングするバックドアであり、各セッションにキーロガーコンポーネント「EggStremeKeylogger」を注入してキーストロークやその他の機微なデータを収集する性能を持つと説明した。EggStremeAgentはgRPC(Google Remote Procedure Call)プロトコルを使ってC2サーバーと通信。58件ものコマンドに対応しており、ローカルおよびネットワークの検出、システム列挙、任意のシェルコード実行、権限昇格、ラテラルムーブメント、データ抜き取り、その他のペイロードの注入など幅広い機能を実現させている。
EggStremeAgentにより注入可能なペイロードの1つは「EggStremeWizard」と呼ばれる補助的なインプラント(xwizards.dll)。この第2のバックドアにより、リバースシェルアクセスとファイルのアップロード・ダウンロード性能が提供される。また複数のC2サーバーから成るリストを組み込んだ設計になっており、たとえ1つのC2サーバーがオフラインになったとしても攻撃者との通信を維持できるようになっているという。またEggStremeフレームワークに加え、内部ネットワークでの足場作りにプロキシユーティリティのStowawayが使用された点も今回の攻撃の特徴の1つとされる。
ファイルレスな性質、DLLサイドローディングの多用、高度な多段階実行フローにより、EggStremeフレームワークは目立つことなく密かに動くことが可能。このことが、同フレームワークを「重大で永続的な脅威」にしているとBitdefenderは指摘。検知回避のためにさまざまな戦術が採用されていることからは、攻撃者が現代の防御技術を深く理解している旨が伺えると述べた。
SonicWall SSL VPNの悪用がオーストラリアで増加(CVE-2024-40766)
cyber[.]gov[.]au – 10 Sep 2025
オーストラリアでは最近、SonicWall製ファイアウォールの脆弱性CVE-2024-40766の悪用の試みが増加しているという。同国のサイバーセキュリティセンター(ACSC)が警告している。
CVE-2024-40766は、SonicWall Gen 5、Gen 6、およびSonicOS 7.0.1-5035以前のバージョンを使用するGen 7に影響を与える脆弱性。SonicOSの管理アクセスおよびSSL VPNにおける不適切なアクセス制限に起因する問題で、悪用された場合には許可のないリソースアクセスやファイアウォールのクラッシュに繋がる恐れがあると説明されている。
ACSCによれば、Akiraランサムウェアが最近、脆弱なオーストラリアの組織をSonicWall SSL VPNを介して標的にしているという。攻撃の詳細や被害組織の数などは明かされていないが、CVE-2024-40766は過去にもAkiraの攻撃で悪用されていた旨が報告されている。
SonicWall製ファイアウォールといえば、8月1日以降、セキュリティ企業数社がAkiraによる同製品への攻撃増加を警告。「新たなゼロデイが使われた可能性がある」との憶測が飛び交っていたものの、8月8日にSonicWallはゼロデイが悪用されている証拠は見つかっていないとしてこれを否定し、代わりに既知の脆弱性であるCVE-2024-40766が関連している模様だと述べていた。
【開催決定!】日本最大級サイバー(脅威)インテリジェンスイベント
サイバーインテリジェンスイベント「Cyber Intelligence Summit 2025」を11月に開催します!
サイバー脅威インテリジェンスとセキュリティ戦略についての国際セキュリティカンファレンス「Cyber Intelligence Summit 2025」を2025年11月5日〜7日、ベルサール虎ノ門にて開催します。
3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇!海外からもアナリストや専門家が多数登壇予定です!
開催概要
名 称:Cyber Intelligence Summit 2025
日 程:2025年11月5日(水)、6日(木)、7日(金)
会 場:ベルサール虎ノ門(オンライン配信無し)
主 催:株式会社マキナレコード
料 金:フルパス ¥10,000|展示パス 無料
翻 訳:英日同時通訳付き
登 録:特設サイトより事前登録
Day,01&02 一般企業中心(官公庁の方も歓迎)
民間企業においてサイバー脅威インテリジェンスに携わる部門のご担当者(情報セキュリティ部門、リスク管理、経営企画、IT・CISO室など)、またはその関連分野に関心をお持ちの方。官公庁・自治体のサイバー対策・情報分析部門にご所属の方もご参加いただけます。
Day,03 官公庁限定(主に法執行機関)
国内の官公庁、自治体、法執行機関(警察庁・都道府県警察、防衛省関連機関等)において、サイバー対策、情報保全、脅威インテリジェンス業務に携わる職員の方。
※Day3は官公庁、自治体、法執行機関所属の方に限りご参加いただけます。
※個人名義や企業所属でのご登録はできません。
とは?.jpg)
