APT

  • https://x.com/yousukezan/status/2056669663334117649

    中国系APT「FamousSparrow」がアゼルバイジャンの石油・ガス企業を数カ月にわたり執拗に攻撃していたことが判明した。未修正Exchange脆弱性を繰り返し悪用し、検知回避型RATで欧州エネルギー供給網への諜報活動を続けていた。

    Bitdefender Labsによると、攻撃は2025年末から2026年2月まで複数波に分けて実施された。侵入経路はProxyNotShellを利用したMicrosoft Exchange侵害で、Webシェル設置後に「Deed RAT」を展開していた。特徴的なのはDLLサイドローディングの高度な回避手法で、正規LogMeIn Hamachi実行ファイルを利用し、Windows API「StartServiceCtrlDispatcherW」をメモリ改変して後段でマルウェアを起動させる構造だった。

    この仕組みにより、DLL単体を解析するサンドボックスでは悪性挙動が発生せず、完全な実行シーケンス時のみRATが起動する。攻撃者は防御側に排除されても同じExchange脆弱性から再侵入し、後続ではTerndoor系バックドアや改良版Deed RATを投入した。最終版は「sentinelonepro[.]com」をC2に使用し、正規セキュリティ製品を装って通信を隠蔽していた。

    Bitdefenderは、VirtualProtect呼び出し監視や不審サービス作成検知、脆弱性修正と認証情報ローテーションを徹底しなければ、APTは同じ侵入口を何度でも再利用すると警告している。