Sagerunex マルウェアの亜種: 進化するサイバー脅威の詳細

A Backdoor in a Ruby Password Checking Library

サイバーセキュリティ研究者は、Lotus Panda として知られるハッキング グループの進行中の活動に新たな展開があることを発見しました。中国と関係があると考えられているこの脅威アクターは、フィリピン、ベトナム、香港、台湾など、複数の地域の政府、製造、通信、メディア組織を積極的にターゲットにしています。彼らの活動の中心にあるのは、Sagerunex として知られる進化するマルウェア スイートであり、少なくとも 2016 年からサイバー スパイ活動のバックドアとして使用されています。

Sagerunex とは何ですか?

Sagerunex は、標的のシステムに侵入し、ホスト情報を収集し、攻撃者が管理する外部サーバーにデータを流出させるように設計された、洗練されたバックドア マルウェアです。このマルウェアは長年にわたって大幅な変更が加えられており、最新の亜種では、持続性を維持し、検出を回避する能力が向上しています。これらの変更は、Lotus Panda がツールを改良し、サイバー スパイ活動を強化するために継続的に努力していることの証です。

もともと Evora と呼ばれる古いマルウェアから派生した Sagerunex は、侵入したネットワークへのエントリ ポイントとして機能します。侵入すると、攻撃者がリモートでコマンドを発行できるようにする秘密の通信チャネルを確立します。このマルウェアの最新バージョンは、 Dropbox 、X (旧 Twitter)、Zimbra などの広く使用されているオンライン サービスをコマンド アンド コントロール (C2) トンネルとして使用します。これらの正当なプラットフォームを利用することで、攻撃者は従来のセキュリティ対策を回避し、侵入したシステムへの長期的なアクセスを維持できます。

攻撃者は何を狙っているのか?

Lotus Panda のキャンペーンの主な目的は、標的の組織から機密情報を収集してサイバースパイ活動を行うことです。このマルウェアにより、攻撃者は次のことが可能になります。

  • システム情報の収集: Sagerunex は、ユーザー資格情報、実行中のプロセス、ネットワーク構成など、ホスト マシンに関する詳細を収集します。
  • リモート コマンドの実行: バックドアにより、脅威の攻撃者は侵害されたデバイス上でコマンドを実行し、感染したマシンを高度に制御できるようになります。
  • データの盗難: 盗まれた情報は、リモート サーバーに送信される前に圧縮および暗号化されることが多く、サイバー セキュリティ チームによる検出と分析が困難になります。
  • ステルス性と持続性の維持: マルウェアは、正規の Web サービス内に自身を埋め込むことで、セキュリティ ツールを回避し、侵害されたネットワーク内で長期間にわたって動作し続けることができます。

Sagerunex の Zimbra ウェブメール バリアントの注目すべき機能の 1 つは、電子メールの内容を通じてコマンド命令を受信する機能です。攻撃者は Zimbra メール メッセージ内にコマンドを埋め込み、マルウェアは正当な命令をスキャンします。有効なコマンドが検出された場合は実行されますが、そうでない場合は、疑いが生じないようにメッセージの内容が削除されます。この革新的なアプローチは、Lotus Panda のサイバー操作がますます巧妙化していることを浮き彫りにしています。

Sagerunex はどのように運営されていますか?

最初の感染の正確な方法は不明ですが、Lotus Panda はスピアフィッシング キャンペーンやウォーターホール型攻撃を行ってきた経歴があります。これらの手法には次のものが含まれます。

  • スピアフィッシング: 受信者を騙して悪意のあるリンクをクリックさせたり、感染した添付ファイルを開かせたりする巧妙に作成されたメールを送信します。
  • ウォーターホール型攻撃: 標的の組織が頻繁にアクセスする信頼できる Web サイトを侵害し、合法的に見えるダウンロードを通じてマルウェアを配信します。

システム内に侵入すると、Sagerunex は偵察活動を開始し、ネットワーク環境に関する情報を収集します。net、tasklist、ipconfig、netstat などのコマンドが実行され、システム アーキテクチャ、実行中のプロセス、ネットワーク接続が特定されます。インターネット アクセスが制限されている場合、マルウェアはターゲットのプロキシ設定を利用したり、Venom プロキシ ツールを展開して外部接続を確立したりすることで適応できます。

Sagerunex と連携して導入される追加ツールには、次のものがあります。

  • Cookie 窃盗: 保存されている Chrome ブラウザの認証情報を抽出し、追加のアカウントやサービスへのアクセスを許可する可能性があります。
  • 権限昇格プログラム: ユーザー権限を調整して、攻撃者により高いレベルのアクセス権を付与します。
  • データ圧縮および暗号化ツール: 盗まれたデータを安全にパッケージ化して持ち出し、サイバーセキュリティの専門家が不正な送信を検出することを困難にします。

サイバーセキュリティへの影響

Sagerunex の継続的な進化は、特に政府機関や重要インフラ部門のサイバーセキュリティ チームにとって大きな課題となっています。通信やデータ流出に正規のサービスが使用されると、検出作業が複雑になります。従来のセキュリティ対策では、Dropbox や Zimbra などのプラットフォームに関連する一見無害なアクティビティを見逃してしまう可能性があるからです。

組織は、このような種類の脅威から身を守るために積極的なアプローチを採用する必要があります。推奨される戦略は次のとおりです。

  • 電子メール セキュリティの強化: 高度な電子メール フィルタリングを実装し、スピア フィッシング攻撃を認識するように従業員をトレーニングすることで、初期感染のリスクを軽減できます。
  • ネットワーク トラフィックの監視: 送信通信を分析して異常なアクティビティを検出すると、隠れた C2 チャネルを特定するのに役立ちます。
  • エンドポイント保護の強化: 動作分析ツールを導入すると、マルウェアの活動を示す疑わしいプロセスを検出できます。
  • ゼロ トラストの原則の適用: 検証された ID に基づいてアクセスを制限し、セグメンテーション戦略を実装することで、攻撃者がネットワーク内で横方向に移動する能力を抑制できます。

最後に

新しい Sagerunex の亜種の出現は、Lotus Panda のようなサイバー脅威アクターの適応力と粘り強さを強調しています。彼らの戦術が進化し続けるのに伴い、標的の組織の防御も進化する必要があります。このマルウェアの機能と目的を理解することで、企業や政府機関はサイバーセキュリティ体制を強化し、ますます高度化する脅威によってもたらされるリスクを最小限に抑えるために必要な措置を講じることができます。

Willa
March 7, 2025
マルウェア, Trojan
日本語
March 7, 2025
マルウェア, Trojan

人気の投稿

OperaGXSetup.exe ファイルとは何ですか? 悪意のあるものですか?

11 months年前

Eporner.comとその過剰なポップアップが危険な理由

12 days年前

注意してください: 誰かがあなたをリカバリメール詐欺に追加しました

10 months年前

HackTool:Win32/Crack: システムに深刻なダメージを与える可能性のある悪意のある脅威

7 months年前

潜在的に深刻な脅威: Trojan:Win32/Suschil!rfn

19 days年前

Packunwan トロイの木馬の脅威とは何か、そしてそれがコンピュータにどのような影響を与えるか

11 months年前
日本語
読み込み中...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

ホーム

製品

Cyclonis Password Manager Cyclonis World Time

サポート

ヘルプファイル よくある質問 Downloads Inquiries & Support

会社

私たちに関しては Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service 個人情報保護方針 クッキーポリシー Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windowsは、Microsoftの商標であり、米国およびその他の国で登録されています。
Mac、iPhone、iPad、およびApp Storeは、米国およびその他の国で登録されたAppleInc。の商標です。
iOSは、Cisco Systems、Inc。および/またはその関連会社の米国およびその他の国における登録商標です。
AndroidおよびGooglePlayは、GoogleLLCの商標です。