-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
日本も標的に:中国関連の新たなAPTグループがWindowsのグループポリシーを悪用してマルウェアを展開
The Hacker News – Dec 18, 2025
これまで文書化されていなかった新たな中国関連のAPTグループ「LongNosedGoblin」について、サイバーセキュリティ企業ESETが報告。遅くとも2023年9月から活動しているとみられるこのグループは、サイバースパイ行為を目的に日本や東南アジアの政府部門を標的にしていたという。
ESETの研究者らは2024年2月、それまで報告されていなかったマルウェアが東南アジアのある政府関連組織のネットワークに潜んでいたのを発見。これをきっかけに同一システム上でその他の新たなマルウェアが見つかり、これらのマルウェアがWindowsの「グループポリシー」機能を使って当該組織の複数システムへ展開されていたことがわかったという。ただ、初期アクセスが正確にはどう獲得されたのかはわかっていない。
グループポリシーとは、Windowsマシン上の設定や権限を一元的に管理するための機能。ユーザーやクライアントPCからなる「グループ」の構成設定を定義したり、サーバーコンピューターを管理したりするのに使えるとされる。ESETによれば、LongNosedGoblinはグループポリシーを悪用して侵害したネットワークへのマルウェアの展開やラテラルムーブメントを行うほか、Microsoft OneDriveやGoogle DriveといったクラウドサービスをC2サーバーとして使用するという。
ESETは、LongNosedGoblinの攻撃が主に以下のC#/.NETアプリケーションから成るカスタムツールセットが使用される点が特徴的だとしている。
- NosyHistorian:Google Chrome、Microsoft Edge、Mozilla Firefoxからブラウザ履歴を収集する性能を持つ。NosyDoorバックドアなどの後続するマルウェアをどこに展開するかを判断するためにも使われる。ESETは、2024年12月にアップデート版のNosyHistorianを日本で検出したと述べている。
- NosyDoor: Microsoft OneDriveをC2として利用するバックドアで、侵害したマシンに関するメタデータを収集してC2へ送り、C2からコマンド付きのタスクファイルを受信し、ファイルの抽出や削除、シェルコマンドの実行などのコマンドを実行する。感染チェーンは3段階から成り、その中でAppDomainManagerインジェクションというLiving Off The Land(LotL/環境寄生型)テクニックを用いる。
- NosyStealer:Microsoft EdgeおよびGoogle Chromeからブラウザデータを盗むために使われるスティーラー。感染チェーンは4段階から成り、最終段階のペイロードがスティーラーコンポーネントとなっている。同スティーラーが盗んだデータは、暗号化されたTARアーカイブの形式でGoogle Driveへ抽出される。
- NosyDownloader:ペイロードをインメモリでダウンロード・実行するダウンローダー。ReverseSocks5、NosyLogger、およびargument runner(引数を受け取って処理を実行する実行用ツール)の展開に使われていたと考えられている。
- NosyLogger:C#/.NETのキーロガーで、オープンソースのキーロガー「DuckSharp」の改変版であるものとみられている。両者の主な違いは、記録したキー情報をメールで送信しない点と、入力されたキーをキリル文字に変換しない点。
ESETによれば、2024年1月から3月に標的となった組織の多くがNosyHistorianに感染していたのに対し、NosyDoorに感染したのはそのうちごく一部だったとされる。この事実は、NosyDoorがより標的を絞って使われていた可能性を示唆している。また上記のマルウェアのほか、LongNosedGoblinはリバースSOCKS5プロキシやargument runner(ビデオレコーダーを実行して音声・動画を取得するために使われたツール)、Cobalt Strikeローダーなどのツール類も採用しているという。
ESETは、グループポリシーをラテラルムーブメントに悪用しつつユニークなツールセットを駆使している点を踏まえ、これらの攻撃が新たな中国関連のAPTグループによるものだと判断。このグループを「LongNosedGoblin」と名付けた。特筆すべき点は、LongNosedGoblinに関連するファイルパスの一部が、2024年4月22日公開のカスペルスキーのブログ記事「ToddyCat is making holes in your infrastructure」に記載されたものと重複している点。また、2025年6月にロシアのサイバーセキュリティ企業Solarが公開した「Erudite Mogwai」というAPTグループについてのブログ記事には、Erudite MogwaiがNosyDoorとよく似たペイロードを使用していたことが記されている点も注目に値する。ただし、これらのグループを結びつける決定的な証拠は存在しないという。
一方でESETは、NosyDoorの亜種がヨーロッパのある国の組織に対して使われた事例も1件確認している。この攻撃ではLongNosedGoblinのものとは異なるTTPが採用されていたほか、クラウドサービス「Yandex Disk」がC2サーバーとして使われていた。このようなNosyDoorの亜種の使用例を踏まえ、ESETは、同マルウェアが複数の中国関連脅威グループの間で共有されている可能性が示唆されていると指摘。加えて、同マルウェアが「サービス」としてその他のアクターにも販売またはライセンス供与している可能性があると述べた。
ESETの記事では、マルウェアに関するさらなる技術的な詳細やIoC、MITRE ATT&CK情報などが提供されている。
【無料配布中レポート】
各種レポートを無料配布中!バナー画像よりダウンロード可能です。
地政学レポート
インテリジェンス要件定義に関するガイドブック
ディープ&ダークウェブレポート
とは?.jpg)