B
今週中
中国に関連すると見られるAPTグループ「GopherWhisper」が、モンゴル政府機関の12システムにGo言語で作成されたバックドアを感染させました
📌 一言でいうと
中国に関連すると見られるAPTグループ「GopherWhisper」が、モンゴル政府機関の12システムにGo言語で作成されたバックドアを感染させました。このグループはDiscord、Slack、Microsoft 365 Outlookなどの正当なサービスをC2通信やデータ窃取に悪用しています。2023年11月から活動していたと推定されており、LaxGopherなどの独自のマルウェアを使用しています。
🏢影響範囲
モンゴル政府機関
✅該当時の対応
不審な外部サービス(Discord, Slack, file.io等)への通信を監視し、Go言語で記述された未知のバイナリの実行を制限すること。また、エンドポイントでの検知能力を強化し、不審なプロセスのインジェクションを監視することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系APTグループ「GopherWhisper」による攻撃手法について
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
中国に関連すると見られるAPTグループ「GopherWhisper」が、Go言語で作成されたバックドアを用いて政府機関等を攻撃していることが判明しました。特筆すべき点として、C2通信やデータ窃取にDiscord、Slack、Microsoft 365 Outlook、file.ioなどの正当なクラウドサービスを悪用し、検知を回避する手法を用いています。
■ 影響範囲
- Go言語で記述された未知のバイナリを実行可能な環境
- 上記の正当なクラウドサービスへの通信が制限なく許可されている環境
■ 対応手順
1. EDR/SIEMにて、Discord, Slack, file.io 等の外部サービスへの不審な通信(特に不自然なデータ転送)がないか監視を強化してください。
2. Go言語で記述された未署名のバイナリや、不審なプロセスのインジェクション動作を検知・制限する設定を確認してください。
3. ネットワーク境界において、業務上不要なファイル共有サービス(file.io等)へのアクセス制限を検討してください。
■ 参考情報
- The Hacker News / ESET Report
対応優先度: 高(速やかな監視体制の確認を推奨)
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
中国に関連すると見られるAPTグループ「GopherWhisper」が、Go言語で作成されたバックドアを用いて政府機関等を攻撃していることが判明しました。特筆すべき点として、C2通信やデータ窃取にDiscord、Slack、Microsoft 365 Outlook、file.ioなどの正当なクラウドサービスを悪用し、検知を回避する手法を用いています。
■ 影響範囲
- Go言語で記述された未知のバイナリを実行可能な環境
- 上記の正当なクラウドサービスへの通信が制限なく許可されている環境
■ 対応手順
1. EDR/SIEMにて、Discord, Slack, file.io 等の外部サービスへの不審な通信(特に不自然なデータ転送)がないか監視を強化してください。
2. Go言語で記述された未署名のバイナリや、不審なプロセスのインジェクション動作を検知・制限する設定を確認してください。
3. ネットワーク境界において、業務上不要なファイル共有サービス(file.io等)へのアクセス制限を検討してください。
■ 参考情報
- The Hacker News / ESET Report
対応優先度: 高(速やかな監視体制の確認を推奨)
Subject: [FYI] Threat Intelligence: GopherWhisper APT Group Activity
Hi all,
This is a security advisory regarding the activities of a China-linked APT group tracked as "GopherWhisper."
■ Overview
GopherWhisper has been observed targeting government systems using a variety of Go-based backdoors (e.g., LaxGopher). The group leverages legitimate services such as Discord, Slack, Microsoft 365 Outlook, and file.io for command-and-control (C2) communications and data exfiltration to bypass traditional security detections.
■ Scope
- Systems capable of executing unsigned Go-based binaries.
- Environments where outbound traffic to the aforementioned cloud services is unrestricted.
■ Recommended Actions
1. Enhance monitoring via EDR/SIEM for anomalous traffic patterns directed toward Discord, Slack, and file.io.
2. Review and restrict the execution of unknown or unsigned Go-based binaries on endpoints.
3. Monitor for suspicious process injection techniques used to deploy loaders and injectors.
4. Evaluate the necessity of access to public file-sharing sites like file.io and implement blocks where applicable.
■ Reference
- The Hacker News / ESET Report
Priority: High (Prompt review of monitoring configurations is recommended)
Hi all,
This is a security advisory regarding the activities of a China-linked APT group tracked as "GopherWhisper."
■ Overview
GopherWhisper has been observed targeting government systems using a variety of Go-based backdoors (e.g., LaxGopher). The group leverages legitimate services such as Discord, Slack, Microsoft 365 Outlook, and file.io for command-and-control (C2) communications and data exfiltration to bypass traditional security detections.
■ Scope
- Systems capable of executing unsigned Go-based binaries.
- Environments where outbound traffic to the aforementioned cloud services is unrestricted.
■ Recommended Actions
1. Enhance monitoring via EDR/SIEM for anomalous traffic patterns directed toward Discord, Slack, and file.io.
2. Review and restrict the execution of unknown or unsigned Go-based binaries on endpoints.
3. Monitor for suspicious process injection techniques used to deploy loaders and injectors.
4. Evaluate the necessity of access to public file-sharing sites like file.io and implement blocks where applicable.
■ Reference
- The Hacker News / ESET Report
Priority: High (Prompt review of monitoring configurations is recommended)