GhostSpiderやあれやこれや

GhostSpiderはモジュール式バックドアです。
マルウェアは次々に生まれてきますが、現在このGhostSpiderを使用する脅威キャンペーンが猛威を振るっています。
流れを見てみましょう。

  • 入口は脆弱性の悪用
    とっかかりは脆弱性の悪用です。
    組織とインターネットの境界部分にある機器の脆弱性を狙います。
    ・Ivanti Connect Secure VPNの特権昇格での任意コマンド実行の脆弱性(CVE-2023-46805、CVE-2024-21887)
    ・Fortinet FortiClient EMSのSQLインジェクション脆弱性(CVE-2023-48788)
    ・Sophos Firewallの管理画面のコードインジェクションによるリモートコード実行の脆弱性(CVE-2022-3236)
    ・Microsoft Exchange Serverのリモート コード実行の脆弱性(CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065)
  • GhostSpiderの設置
    GhostSpiderはメモリ内にのみ存在する状態で動作するマルウェアです。
    実装形式によって高度なステルス性を実現し、長期的なスパイ活動向けに使用できる仕上がりになっています。
    DLLハイジャックを使用してターゲットシステムにロードします。
    C2との通信の内容はHTTPのヘッダやcookieのなかに混ぜ込みますので、発見は困難です。
    GhostSpiderは次の機能を持っています。
    upload
    攻撃者が制御する特定のタスクを実行するために、悪意のあるモジュールをメモリに読み込みます。
    ・create
    操作に必要なリソースを初期化して、ロードされたモジュールをアクティブ化します。
    normal
    データの流出やシステム操作など、ロードされたモジュールの主な機能を実行します。
    close
    アクティブなモジュールをメモリから削除して、トレースを最小限に抑え、システム リソースを解放します。
    update
    通信間隔などのマルウェアの動作を調整し、ステルス性と効果を維持します。
    Heartbeat
    C&C サーバーとの定期的な通信を維持し、システムが引き続きアクセス可能であることを確認します。

この機能性のため、このバックドアを使った攻撃は非常に柔軟に侵害環境に対応した活動を展開できてしまいます。
さらに、これを使う脅威アクターは、ほかにも多くのマルウェアを使用します。
別のモジュール式バックドアのSNAPPYBEE、クロスプラットフォームのバックドアのMASOL RAT、ルートキットのDEMODEX、横展開に有効な機能を持つバックドアのSparrowDoor、ステルス性の高いCrowDoor、そしてまた別のモジュール式バックドアのShadowPadなどです。

これらを使った侵害行為は、侵害が成り立ってしまうと手の付けられない状態になる脅威になっています。
最近話題になる脅威には、人が誤ってファイルを開いてしまうことに依存したものも多くありました。
しかし、この脅威の入り口部分は脆弱性の悪用です。
脆弱性があるままのシステムにおいては脅威はターゲットとなった時点で起こってしまうものとなるので大きな脅威となりますが、その狙いの脆弱性をシステムが有していなければ脅威とならないものです。
パッチケイデンスの維持などのあるべき運用状態を保つことは、現代において必要な重要運用事項であると感じます。

Game of Emperor: Unveiling Long Term Earth Estries Cyber Intrusions

https://www.trendmicro.com/en_us/research/24/k/earth-estries.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。