2021年10月、Doctor Webはカザフスタンの通信事業者から、企業ネットワーク内にマルウェアが存在している疑いがあるという連絡を受けました。調査の結果、これまでも標的攻撃のみに使用されていたバックドアが発見され、さらに調査を進めていくうちに企業の内部サーバーは2019年から侵害されていたということが明らかになりました。
###
数年に渡り攻撃に使用されていた主なツールはBackdoor. PlugX.93とBackDoor.Whitebird.30、Fast Reverse Proxy(FRP)ユーティリティ、RemComです。
ハッカー側のミスにより、Doctor Webは被害を受けた企業を特定し、使用されているバックドア管理ツールを明らかにすることに成功しました。得られた情報から、このハッカーグループはMicrosoft Exchangeがインストールされているアジア企業のメールサーバーに特化した攻撃を行っていると結論付けることができます。ただし、以下を含むその他の国の企業も標的となっています。
エジプトの政府機関
イタリアの空港
米国のマーケティング会社
カナダの輸送および木材加工会社
C&Cサーバーから収集されたログには2021年8月から11月初旬の間に攻撃を受けた企業が含まれていました。一部のケースでは、Microsoft Exchangeが導入されているサーバーのみでなく、ドメインコントローラにも BackDoor.Whitebird.30 がインストールされています。使用されているツールや手法、インフラストラクチャから、Doctor Webでは、この攻撃の背後にはAPTハッカーグループ「Calypso」が存在するものと結論付けました。
詳細は以下をご覧ください。
(リンク »)
数年に渡り攻撃に使用されていた主なツールはBackdoor. PlugX.93とBackDoor.Whitebird.30、Fast Reverse Proxy(FRP)ユーティリティ、RemComです。
ハッカー側のミスにより、Doctor Webは被害を受けた企業を特定し、使用されているバックドア管理ツールを明らかにすることに成功しました。得られた情報から、このハッカーグループはMicrosoft Exchangeがインストールされているアジア企業のメールサーバーに特化した攻撃を行っていると結論付けることができます。ただし、以下を含むその他の国の企業も標的となっています。
エジプトの政府機関
イタリアの空港
米国のマーケティング会社
カナダの輸送および木材加工会社
C&Cサーバーから収集されたログには2021年8月から11月初旬の間に攻撃を受けた企業が含まれていました。一部のケースでは、Microsoft Exchangeが導入されているサーバーのみでなく、ドメインコントローラにも BackDoor.Whitebird.30 がインストールされています。使用されているツールや手法、インフラストラクチャから、Doctor Webでは、この攻撃の背後にはAPTハッカーグループ「Calypso」が存在するものと結論付けました。
詳細は以下をご覧ください。
(リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
