中国APT、フィリピン軍事企業のシステムにファイルレスマルウェアEggStremeを展開

9月11日：サイバーセキュリティ関連ニュース

中国APT、フィリピン軍事企業のシステムにファイルレスマルウェアEggStremeを展開

The Hacker News – Sep 10, 2025

中国のAPTグループが使用する新たなファイルレスマルウェアフレームワーク「EggStreme」について、Bitdefenderの研究者らが報告。この多段階ツールセットは、悪意あるコードをメモリへ直接注入し、DLLサイドローディングを利用してペイロードを実行することにより、検知されにくい状態を保ったままスパイ活動を実施することができるという。

Bitdefenderは、フィリピンに拠点を置くある軍事企業への巧妙なサイバー攻撃を分析したところ、このフレームワークを発見。同被害企業の戦略的価値と南シナ海における地政学的な文脈を踏まえ、攻撃者のTTPが中国のAPTグループのものと一致していると結論付けたという。Bitdefenderによれば、攻撃者の1番の狙いは長期的なスパイ活動および偵察活動のために永続的なアクセスを確立することであり、攻撃者は国家的な思惑と重なり合う目的を抱いていたとみられている。

EggStremeは多段階のツールセットで、感染マシン上に「強固な足場」を確立することを意図して設計された、緊密に統合された有害なコンポーネント群と説明されている。第1段階となるのは「EggStremeFuel（mscorsvc.dll）」と呼ばれるペイロードで、これがシステムのプロファイリングを実施し次段階のEggStremeLoaderをデプロイ。これにより復号・実行されるEggStremeReflectiveLoaderが最終ペイロードのための中間段階的な役割を果たし、最後にEggStremeAgentが起動する。

Bitdefenderは、EggStremeAgentをEggStremeフレームワークの「中枢神経系」と表現。新たなユーザーセッションをモニタリングするバックドアであり、各セッションにキーロガーコンポーネント「EggStremeKeylogger」を注入してキーストロークやその他の機微なデータを収集する性能を持つと説明した。EggStremeAgentはgRPC（Google Remote Procedure Call）プロトコルを使ってC2サーバーと通信。58件ものコマンドに対応しており、ローカルおよびネットワークの検出、システム列挙、任意のシェルコード実行、権限昇格、ラテラルムーブメント、データ抜き取り、その他のペイロードの注入など幅広い機能を実現させている。

EggStremeAgentにより注入可能なペイロードの1つは「EggStremeWizard」と呼ばれる補助的なインプラント（xwizards.dll）。この第2のバックドアにより、リバースシェルアクセスとファイルのアップロード・ダウンロード性能が提供される。また複数のC2サーバーから成るリストを組み込んだ設計になっており、たとえ1つのC2サーバーがオフラインになったとしても攻撃者との通信を維持できるようになっているという。またEggStremeフレームワークに加え、内部ネットワークでの足場作りにプロキシユーティリティのStowawayが使用された点も今回の攻撃の特徴の1つとされる。

ファイルレスな性質、DLLサイドローディングの多用、高度な多段階実行フローにより、EggStremeフレームワークは目立つことなく密かに動くことが可能。このことが、同フレームワークを「重大で永続的な脅威」にしているとBitdefenderは指摘。検知回避のためにさまざまな戦術が採用されていることからは、攻撃者が現代の防御技術を深く理解している旨が伺えると述べた。

SonicWall SSL VPNの悪用がオーストラリアで増加（CVE-2024-40766）

cyber[.]gov[.]au – 10 Sep 2025

オーストラリアでは最近、SonicWall製ファイアウォールの脆弱性CVE-2024-40766の悪用の試みが増加しているという。同国のサイバーセキュリティセンター（ACSC）が警告している。

CVE-2024-40766は、SonicWall Gen 5、Gen 6、およびSonicOS 7.0.1-5035以前のバージョンを使用するGen 7に影響を与える脆弱性。SonicOSの管理アクセスおよびSSL VPNにおける不適切なアクセス制限に起因する問題で、悪用された場合には許可のないリソースアクセスやファイアウォールのクラッシュに繋がる恐れがあると説明されている。

ACSCによれば、Akiraランサムウェアが最近、脆弱なオーストラリアの組織をSonicWall SSL VPNを介して標的にしているという。攻撃の詳細や被害組織の数などは明かされていないが、CVE-2024-40766は過去にもAkiraの攻撃で悪用されていた旨が報告されている。

SonicWall製ファイアウォールといえば、8月1日以降、セキュリティ企業数社がAkiraによる同製品への攻撃増加を警告。「新たなゼロデイが使われた可能性がある」との憶測が飛び交っていたものの、8月8日にSonicWallはゼロデイが悪用されている証拠は見つかっていないとしてこれを否定し、代わりに既知の脆弱性であるCVE-2024-40766が関連している模様だと述べていた。

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次

• 序論
• ハクティビズム
  • ハクティビズムの変遷
  • 戦争におけるハクティビズム
  • 「選挙イヤー」におけるハクティビズム
  • 絡み合う動機
  • 国家の支援を受けたハッカー集団
• 偽情報
  • 国家間対立
  • 偽情報とロシア・ウクライナ戦争
  • 偽情報とイスラエル・ハマス戦争
  • 偽情報と選挙が世界にあふれた2024年
• 国家型APTの活動
  • 中国
  • ロシア
  • 北朝鮮
  • イラン
• マルチチャネルインテリジェンスの運用化における課題と関連リスク