B
今週中
Tropic Trooper(APT23)による、トロイ化されたSumatraPDFを用いた攻撃キャンペーン
📌 一言でいうと
Tropic Trooper(APT23)による、トロイ化されたSumatraPDFを用いた攻撃キャンペーンが確認されました。この攻撃は、GitHubをC2プラットフォームとして利用し、AdaptixC2 Beaconを配備して最終的にVS Codeトンネルを悪用してリモートアクセスを確立します。主な標的は台湾、日本、韓国などの中国語圏およびアジア地域の個人や組織であると分析されています。
🏢影響範囲
台湾、日本、韓国の中国語圏ユーザーおよび政府・軍事関連組織
✅該当時の対応
信頼できないソースからのZIPアーカイブやPDFリーダーのインストールを避け、GitHubなどの外部プラットフォームへの不審な通信を監視してください。また、VS Codeトンネルなどのリモートアクセスツールの利用状況を監査することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なZIPファイルおよびPDFリーダーのインストールに関するご注意
お疲れさまです。情報システム担当です。
現在、軍事関連の文書を装ったZIPファイルを通じて、悪意のあるPDFリーダー(SumatraPDFの偽物)をインストールさせ、PCを遠隔操作しようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元からのZIPアーカイブや添付ファイルは絶対に開かないでください。
2. 公式サイト以外からPDFリーダーなどのソフトウェアをダウンロードし、インストールしないでください。
不審なメールを受信したり、誤ってファイルを開いてしまった場合は、速やかにシステム管理者に報告してください。
お疲れさまです。情報システム担当です。
現在、軍事関連の文書を装ったZIPファイルを通じて、悪意のあるPDFリーダー(SumatraPDFの偽物)をインストールさせ、PCを遠隔操作しようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元からのZIPアーカイブや添付ファイルは絶対に開かないでください。
2. 公式サイト以外からPDFリーダーなどのソフトウェアをダウンロードし、インストールしないでください。
不審なメールを受信したり、誤ってファイルを開いてしまった場合は、速やかにシステム管理者に報告してください。
Subject: [Security Notice] Warning Regarding Suspicious ZIP Files and PDF Software
Hi everyone,
Our security team has identified a campaign where attackers use ZIP archives containing military-themed documents to trick users into installing a malicious version of the SumatraPDF reader. This allows attackers to gain remote access to the infected computer.
Please follow these precautions:
1. Do not open ZIP archives or attachments from unknown or untrusted sources.
2. Avoid downloading and installing software, such as PDF readers, from unofficial websites.
If you encounter any suspicious emails or believe you may have accidentally installed unauthorized software, please report it to the IT department promptly.
Hi everyone,
Our security team has identified a campaign where attackers use ZIP archives containing military-themed documents to trick users into installing a malicious version of the SumatraPDF reader. This allows attackers to gain remote access to the infected computer.
Please follow these precautions:
1. Do not open ZIP archives or attachments from unknown or untrusted sources.
2. Avoid downloading and installing software, such as PDF readers, from unofficial websites.
If you encounter any suspicious emails or believe you may have accidentally installed unauthorized software, please report it to the IT department promptly.
件名: 【共有】Tropic Trooperによるトロイ化SumatraPDFを用いた攻撃キャンペーンについて
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
脅威アクター「Tropic Trooper (APT23)」が、トロイ化されたSumatraPDFを用いてAdaptixC2 Beaconを配備するキャンペーンを展開しています。GitHubをC2プラットフォームとして利用し、最終的にVS Codeトンネルを悪用してリモートアクセスを確立する手法が確認されています。日本を含むアジア圏が標的となっています。
■ 影響範囲
- SumatraPDFを非公式ルートで導入している環境
- VS Codeトンネル等のリモートアクセスツールを許可している環境
■ 対応手順
1. ネットワークログを確認し、GitHubへの不審な通信や、不自然なVS Codeトンネルの確立がないか監視してください。
2. エンドポイントにおいて、正規ではないパスから実行されているSumatraPDFやAdaptixC2に関連する不審なプロセスの有無を確認してください。
3. ユーザーに対し、非公式ソフトウェアのインストール禁止を改めて周知してください。
■ 参考情報
- Zscaler ThreatLabz Analysis
対応優先度: 高(速やかな監視および確認を推奨)
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
脅威アクター「Tropic Trooper (APT23)」が、トロイ化されたSumatraPDFを用いてAdaptixC2 Beaconを配備するキャンペーンを展開しています。GitHubをC2プラットフォームとして利用し、最終的にVS Codeトンネルを悪用してリモートアクセスを確立する手法が確認されています。日本を含むアジア圏が標的となっています。
■ 影響範囲
- SumatraPDFを非公式ルートで導入している環境
- VS Codeトンネル等のリモートアクセスツールを許可している環境
■ 対応手順
1. ネットワークログを確認し、GitHubへの不審な通信や、不自然なVS Codeトンネルの確立がないか監視してください。
2. エンドポイントにおいて、正規ではないパスから実行されているSumatraPDFやAdaptixC2に関連する不審なプロセスの有無を確認してください。
3. ユーザーに対し、非公式ソフトウェアのインストール禁止を改めて周知してください。
■ 参考情報
- Zscaler ThreatLabz Analysis
対応優先度: 高(速やかな監視および確認を推奨)
Subject: [FYI] Campaign by Tropic Trooper using Trojanized SumatraPDF
Hi all,
This is a security advisory regarding a new campaign attributed to the threat actor Tropic Trooper (APT23).
■ Overview
The attackers are distributing a trojanized version of the SumatraPDF reader to deploy the AdaptixC2 Beacon. The campaign leverages GitHub as a C2 platform and abuses Microsoft Visual Studio Code (VS Code) tunnels to establish persistent remote access. Targets include individuals and organizations in Japan, South Korea, and Taiwan.
■ Scope
- Systems running SumatraPDF installed from unofficial sources.
- Environments where VS Code tunnels or similar remote access tools are permitted.
■ Recommended Actions
1. Monitor network traffic for suspicious communications to GitHub and unauthorized VS Code tunnel establishments.
2. Audit endpoints for suspicious processes associated with AdaptixC2 or SumatraPDF running from unusual directories.
3. Reinforce policies prohibiting the installation of software from untrusted sources.
■ Reference
- Zscaler ThreatLabz Analysis
Priority: High (Prompt monitoring and verification recommended)
Hi all,
This is a security advisory regarding a new campaign attributed to the threat actor Tropic Trooper (APT23).
■ Overview
The attackers are distributing a trojanized version of the SumatraPDF reader to deploy the AdaptixC2 Beacon. The campaign leverages GitHub as a C2 platform and abuses Microsoft Visual Studio Code (VS Code) tunnels to establish persistent remote access. Targets include individuals and organizations in Japan, South Korea, and Taiwan.
■ Scope
- Systems running SumatraPDF installed from unofficial sources.
- Environments where VS Code tunnels or similar remote access tools are permitted.
■ Recommended Actions
1. Monitor network traffic for suspicious communications to GitHub and unauthorized VS Code tunnel establishments.
2. Audit endpoints for suspicious processes associated with AdaptixC2 or SumatraPDF running from unusual directories.
3. Reinforce policies prohibiting the installation of software from untrusted sources.
■ Reference
- Zscaler ThreatLabz Analysis
Priority: High (Prompt monitoring and verification recommended)