仮想環境を狙うマルウェア「BRICKSTORM」 - 中国政府系攻撃者が悪用
ドメインコントローラーや「ADFS」を侵害して暗号鍵を取得。コマンド&コントロールサーバとの通信には、「HTTPS」や「WebSocket」にくわえて、「TLS」を用いて多層的な暗号化を行っていた。
また「DNS over HTTPS(DoH)」を用いて、ウェブサーバの挙動を模倣し、通信を正規のトラフィックと混在させて不正な通信を隠蔽しようとしていた。
同マルウェアは「SOCKSプロクシ」としても動作し、被害組織のネットワークにおけるラテラルムーブメントやトンネリングなどを容易にしていた。
さらにアクセスが中断された場合、マルウェアを自動的に再インストールしたり、再起動して継続的に稼働するような監視機能を実装。長期間にわたり潜伏できるよう設計されていた。スナップショットを窃取したり、仮想マシンを作成するケースも見られたという。
今回のアラートでは、「IoC(Indicators of Compromise)」や「YARA」「Sigma」のルールを提供。組織内におけるマルウェアの検出や、侵害の痕跡がないか確認するよう呼びかけている。
「DoH」の制御や「DMZ」や内部セグメント、サービスアカウントにおける監視の強化のほか、仮想環境におけるソフトウェアを最新の状態に保ち、保護することなども呼びかけている。
(Security NEXT - 2025/12/05 )
ツイート
PR
関連記事
Samsung製端末、ゼロデイ攻撃の標的に - 商用レベルスパイウェアを悪用か
韓国関連グループの標的型攻撃が継続 - GitHub悪用でマルウェア展開
「Ivanti EPMM」狙う脆弱性連鎖攻撃、米当局がマルウェアを解析
Ivanti製品狙う「RESURGE」、米当局が検知や復旧方法を公開
中国系グループ、「Junos OS」を侵害か - 監視手薄な部分を標的
Ivanti脆弱性、国内でも12月下旬より悪用 - マルウェアにパッチ機能
中国関与が疑われる「MirrorFace」の攻撃に注意喚起 - 警察庁
Ivanti製VPN製品のゼロデイ脆弱性、中国関連のグループが悪用か
「出前館」が3日間にわたりサービス停止 - マルウェア感染で
未使用でも影響、7月修正の「IEゼロデイ脆弱性」 - 遅くとも5月に悪用
