C
月内に
中国系APTグループ「FishMonger」が使用するバックドア「SprySOCKS」のWindows版変種(WIN_DRVおよびWIN_PLUS)
📌 一言でいうと
中国系APTグループ「FishMonger」が使用するバックドア「SprySOCKS」のWindows版変種(WIN_DRVおよびWIN_PLUS)が確認されました。WIN_DRVはカーネルドライバーを用いてネットワーク接続やプロセスを隠蔽し、WIN_PLUSはプリントスプーラーサービスを悪用して検知を回避します。主にオン து라스、台湾、タイ、パキスタンの政府機関が標的となっており、システム情報の収集やリモートコマンド実行などの機能を持っています。
🔍該当判定
- Windows OSを搭載したPCやサーバーを社内で利用している
- Windowsの標準機能である「プリントスプーラー(印刷機能)」を有効にしたまま利用している
- 政府機関や外交関係、または中国・台湾・東南アジア地域の組織と密接な業務連携がある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なカーネルドライバーのインストールを監視し、Windowsプリントスプーラーサービスの異常なプロセス動作(spoolsv.exeからの不審な子プロセス生成など)を検知するEDR設定を強化してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系APTグループによるSprySOCKS Windows変種の検知について
お疲れさまです。SprySOCKSのWindows版変種に関する情報共有です。
■ 概要
中国系APTグループ「FishMonger」が使用するバックドアSprySOCKSのWindows版が公開されました。特に「WIN_DRV」変種はカーネルドライバー(RawWNPF)を用いて通信ポートやプロセスを隠蔽し、一般的なネットワーク点検を回避する高度なステルス機能を備えています。また「WIN_PLUS」はプリントスプーラーサービス(spoolsv.exe)を悪用してバックドアを動作させます。
■ 影響範囲
- Windows OS環境
- 主に政府機関が標的とされていますが、同様の手法による攻撃の可能性があります
■ 対応手順
1. EDR/SIEMにて、spoolsv.exe からの不審な子プロセス生成や、未知のカーネルドライバーのロードを監視してください。
2. ネットワークレベルで、不審なTCP/UDP/WebSocket通信が発生していないか確認してください。
3. OSおよび関連サービスの最新パッチを適用し、不要なサービスの停止を検討してください。
■ 参考情報
- ESET分析レポート
対応優先度: 中
対応期限: 継続的な監視を推奨
お疲れさまです。SprySOCKSのWindows版変種に関する情報共有です。
■ 概要
中国系APTグループ「FishMonger」が使用するバックドアSprySOCKSのWindows版が公開されました。特に「WIN_DRV」変種はカーネルドライバー(RawWNPF)を用いて通信ポートやプロセスを隠蔽し、一般的なネットワーク点検を回避する高度なステルス機能を備えています。また「WIN_PLUS」はプリントスプーラーサービス(spoolsv.exe)を悪用してバックドアを動作させます。
■ 影響範囲
- Windows OS環境
- 主に政府機関が標的とされていますが、同様の手法による攻撃の可能性があります
■ 対応手順
1. EDR/SIEMにて、spoolsv.exe からの不審な子プロセス生成や、未知のカーネルドライバーのロードを監視してください。
2. ネットワークレベルで、不審なTCP/UDP/WebSocket通信が発生していないか確認してください。
3. OSおよび関連サービスの最新パッチを適用し、不要なサービスの停止を検討してください。
■ 参考情報
- ESET分析レポート
対応優先度: 中
対応期限: 継続的な監視を推奨
Subject: [Intel] Detection of SprySOCKS Windows Variants by Chinese APT
Dear Team,
We are sharing intelligence regarding the Windows variants of the SprySOCKS backdoor used by the Chinese-linked threat actor FishMonger.
■ Overview
Two Windows variants, WIN_DRV and WIN_PLUS, have been identified. WIN_DRV employs a kernel driver (RawWNPF) to hide network connections, processes, and registry keys, making it difficult to detect via standard network audits. WIN_PLUS leverages the Windows Print Spooler service (spoolsv.exe) to inject the backdoor into a new svchost.exe process to evade detection.
■ Scope
- Windows OS environments
- Primarily targeting government agencies in Asia and Latin America
■ Recommended Actions
1. Configure EDR/SIEM to monitor for suspicious child processes spawned by spoolsv.exe and the loading of unauthorized kernel drivers.
2. Audit network traffic for anomalous TCP/UDP/WebSocket communications to unknown C2 servers.
3. Ensure all Windows systems are fully patched and disable unnecessary services.
■ Reference
- ESET Analysis Report
Priority: Medium
Deadline: Ongoing monitoring
Dear Team,
We are sharing intelligence regarding the Windows variants of the SprySOCKS backdoor used by the Chinese-linked threat actor FishMonger.
■ Overview
Two Windows variants, WIN_DRV and WIN_PLUS, have been identified. WIN_DRV employs a kernel driver (RawWNPF) to hide network connections, processes, and registry keys, making it difficult to detect via standard network audits. WIN_PLUS leverages the Windows Print Spooler service (spoolsv.exe) to inject the backdoor into a new svchost.exe process to evade detection.
■ Scope
- Windows OS environments
- Primarily targeting government agencies in Asia and Latin America
■ Recommended Actions
1. Configure EDR/SIEM to monitor for suspicious child processes spawned by spoolsv.exe and the loading of unauthorized kernel drivers.
2. Audit network traffic for anomalous TCP/UDP/WebSocket communications to unknown C2 servers.
3. Ensure all Windows systems are fully patched and disable unnecessary services.
■ Reference
- ESET Analysis Report
Priority: Medium
Deadline: Ongoing monitoring