C
月内に
中国系APTグループ「Red Lamassu(別名Calypso)」が、アジア太平洋および中東の通信事業者を標的に長期的な潜伏活動を行っていたこと
📌 一言でいうと
中国系APTグループ「Red Lamassu(別名Calypso)」が、アジア太平洋および中東の通信事業者を標的に長期的な潜伏活動を行っていたことが判明しました。攻撃にはLinux用マルウェア「Showboat」とWindows用バックドア「JFMBackdoor」が使用されており、特にShowboatはSOCKS5プロキシ機能を用いて内部ネットワークへの侵入拠点として利用されます。また、Pastebinなどの外部サイトを「デッドドロップ」として利用し、検知を回避してコードを読み込む巧妙な手法が確認されています。
🔍該当判定
- 自社が「通信事業者」または「インターネットサービスプロバイダー(ISP)」である
- 社内でLinuxサーバーを運用しており、外部からアクセス可能な状態で公開している
- Windows PCを運用しており、不審な実行ファイル(JFMBackdoor等)の動作を検知した
- 中東やアジア太平洋地域の政府機関・通信インフラに関連する業務を行っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 外部公開サーバーにおける不審なアウトバウンド通信(特にPastebin等のパブリックサイトへのアクセス)の監視を強化してください。
2. Linuxサーバーにおける未知のプロセスや、不審なSOCKS5プロキシ設定の有無を確認してください。
3. ネットワークセグメンテーションを徹底し、内部ネットワークへの横展開(ラテラルムーブメント)を制限してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系APT「Red Lamassu」による通信事業者標的攻撃について
お疲れさまです。Red Lamassu(Calypso)による標的型攻撃に関する情報共有です。
■ 概要
中国系APTグループがアジア太平洋・中東の通信事業者を標的に、Linux用マルウェア「Showboat」およびWindows用「JFMBackdoor」を用いて長期潜伏・情報収集を行っています。ShowboatはSOCKS5プロキシ機能による内部侵入の拠点化や、Pastebin等の外部サイトをデッドドロップとして利用する検知回避手法が特徴です。
■ 影響範囲
- 通信事業者、ISP、政府機関のLinux/Windowsサーバー
■ 対応手順
1. サーバーからの不審な外部通信(特にコード共有サイト等へのアクセス)のログ確認
2. Linux環境における不審なプロキシ設定および永続化メカニズムの調査
3. 内部ネットワークにおける不自然なポートフォワーディングの監視
■ 参考情報
- Lumen Black Lotus Labs / PwC Threat Intelligence 分析レポート
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。Red Lamassu(Calypso)による標的型攻撃に関する情報共有です。
■ 概要
中国系APTグループがアジア太平洋・中東の通信事業者を標的に、Linux用マルウェア「Showboat」およびWindows用「JFMBackdoor」を用いて長期潜伏・情報収集を行っています。ShowboatはSOCKS5プロキシ機能による内部侵入の拠点化や、Pastebin等の外部サイトをデッドドロップとして利用する検知回避手法が特徴です。
■ 影響範囲
- 通信事業者、ISP、政府機関のLinux/Windowsサーバー
■ 対応手順
1. サーバーからの不審な外部通信(特にコード共有サイト等へのアクセス)のログ確認
2. Linux環境における不審なプロキシ設定および永続化メカニズムの調査
3. 内部ネットワークにおける不自然なポートフォワーディングの監視
■ 参考情報
- Lumen Black Lotus Labs / PwC Threat Intelligence 分析レポート
対応優先度: 高
対応期限: 速やかに確認
Subject: [Intel] Targeted Attacks by Red Lamassu against Telecom Providers
Dear Team,
We are sharing threat intelligence regarding the activities of the China-linked APT group 'Red Lamassu' (also known as 'Calypso').
■ Overview
Red Lamassu has been targeting telecom providers and ISPs in the Asia-Pacific and Middle East regions since mid-2022. They utilize 'Showboat' (Linux) and 'JFMBackdoor' (Windows) to maintain long-term persistence. Showboat is particularly dangerous as it provides SOCKS5 proxy and port forwarding capabilities for internal pivoting and uses public websites (e.g., Pastebin) as dead drops to evade security detection.
■ Scope
- Linux and Windows servers within Telecom, ISP, and Government sectors.
■ Recommended Actions
1. Monitor outbound traffic for unusual connections to public code-sharing or text-hosting sites.
2. Audit Linux systems for unauthorized SOCKS5 proxy configurations or suspicious persistence mechanisms.
3. Review internal network logs for anomalous port forwarding activity.
■ Reference
- Analysis by Lumen Black Lotus Labs and PwC Threat Intelligence
Priority: High
Deadline: Immediate review
Dear Team,
We are sharing threat intelligence regarding the activities of the China-linked APT group 'Red Lamassu' (also known as 'Calypso').
■ Overview
Red Lamassu has been targeting telecom providers and ISPs in the Asia-Pacific and Middle East regions since mid-2022. They utilize 'Showboat' (Linux) and 'JFMBackdoor' (Windows) to maintain long-term persistence. Showboat is particularly dangerous as it provides SOCKS5 proxy and port forwarding capabilities for internal pivoting and uses public websites (e.g., Pastebin) as dead drops to evade security detection.
■ Scope
- Linux and Windows servers within Telecom, ISP, and Government sectors.
■ Recommended Actions
1. Monitor outbound traffic for unusual connections to public code-sharing or text-hosting sites.
2. Audit Linux systems for unauthorized SOCKS5 proxy configurations or suspicious persistence mechanisms.
3. Review internal network logs for anomalous port forwarding activity.
■ Reference
- Analysis by Lumen Black Lotus Labs and PwC Threat Intelligence
Priority: High
Deadline: Immediate review