B
今週中
DEEP#DOORと呼ばれる新しいPythonベースのバックドアフレームワーク
📌 一言でいうと
DEEP#DOORと呼ばれる新しいPythonベースのバックドアフレームワークが発見されました。このマルウェアは、バッチスクリプトを通じてWindowsのセキュリティ制御を無効化し、レジストリやタスクスケジューラを用いて永続性を確立します。最終的にブラウザやクラウドの認証情報を窃取し、トンネリングサービスを利用して外部へ送信します。
🏢影響範囲
Windows OSを利用し、クラウドサービスやブラウザに機密情報を保存しているあらゆる組織
✅該当時の対応
不審なメールの添付ファイル(特に.batファイル)を開かないこと。エンドポイント保護製品(EDR)での不審なPythonプロセスやトンネリングツールの監視を強化すること。Windowsセキュリティ設定の変更を検知するアラートを設定すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なメールの添付ファイル開封に関するご注意
お疲れさまです。情報システム担当です。
最近、メールに添付された不正なファイルを開くことで、パソコン内のパスワードやクラウドサービスの認証情報が盗まれる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールや、不自然な添付ファイル(特に.batなどの実行ファイル)は絶対に開かないでください。
2. 万が一、不審なファイルを開いてしまった場合や、PCの動作に違和感がある場合は、すぐに情報システム担当までご連絡ください。
対応期限: 本日中(確認をお願いします)
お疲れさまです。情報システム担当です。
最近、メールに添付された不正なファイルを開くことで、パソコン内のパスワードやクラウドサービスの認証情報が盗まれる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールや、不自然な添付ファイル(特に.batなどの実行ファイル)は絶対に開かないでください。
2. 万が一、不審なファイルを開いてしまった場合や、PCの動作に違和感がある場合は、すぐに情報システム担当までご連絡ください。
対応期限: 本日中(確認をお願いします)
Subject: [Security Alert] Caution Regarding Suspicious Email Attachments
Dear employees,
Our security team has identified a new threat where opening malicious email attachments can lead to the theft of browser passwords and cloud credentials.
Please follow these guidelines:
1. Do not open attachments from unknown senders, especially executable files (e.g., .bat files).
2. If you have accidentally opened a suspicious file or notice unusual behavior on your computer, please report it to the IT department immediately.
Deadline: Immediate
Dear employees,
Our security team has identified a new threat where opening malicious email attachments can lead to the theft of browser passwords and cloud credentials.
Please follow these guidelines:
1. Do not open attachments from unknown senders, especially executable files (e.g., .bat files).
2. If you have accidentally opened a suspicious file or notice unusual behavior on your computer, please report it to the IT department immediately.
Deadline: Immediate
件名: 【共有】Pythonベースのバックドア「DEEP#DOOR」への対応について
お疲れさまです。DEEP#DOORに関する情報共有です。
■ 概要
Pythonベースのバックドアフレームワークで、install_obf.batによるセキュリティ無効化後、svc.pyを配置し、レジストリ、タスクスケジューラ、WMI等で永続性を確保します。トンネリングサービスを用いてブラウザやクラウドの認証情報を窃取します。
■ 影響範囲
- Windows OS環境
■ 対応手順
1. EDR/SIEMにて、不審なPythonプロセスの起動およびトンネリングツールの通信を監視してください。
2. Startupフォルダ、レジストリRunキー、スケジュール済みタスクへの不審なエントリ追加を検知するルールを適用してください。
3. Windows Defender等のセキュリティ設定が強制的に無効化されたイベントを監視してください。
■ 参考情報
- Securonix Report / The Hacker News
対応優先度: 高
対応期限: 速やかに
お疲れさまです。DEEP#DOORに関する情報共有です。
■ 概要
Pythonベースのバックドアフレームワークで、install_obf.batによるセキュリティ無効化後、svc.pyを配置し、レジストリ、タスクスケジューラ、WMI等で永続性を確保します。トンネリングサービスを用いてブラウザやクラウドの認証情報を窃取します。
■ 影響範囲
- Windows OS環境
■ 対応手順
1. EDR/SIEMにて、不審なPythonプロセスの起動およびトンネリングツールの通信を監視してください。
2. Startupフォルダ、レジストリRunキー、スケジュール済みタスクへの不審なエントリ追加を検知するルールを適用してください。
3. Windows Defender等のセキュリティ設定が強制的に無効化されたイベントを監視してください。
■ 参考情報
- Securonix Report / The Hacker News
対応優先度: 高
対応期限: 速やかに
Subject: [Technical Alert] Python-based Backdoor "DEEP#DOOR"
Dear Security Team,
This is a technical briefing regarding the DEEP#DOOR backdoor framework.
■ Overview
DEEP#DOOR is a Python-based framework that disables Windows security via 'install_obf.bat' and deploys 'svc.py'. It ensures persistence through Registry Run keys, Scheduled Tasks, and WMI subscriptions, utilizing tunneling services for data exfiltration of browser and cloud credentials.
■ Scope
- Windows OS environments
■ Mitigation Steps
1. Monitor EDR/SIEM for suspicious Python process executions and unauthorized tunneling tool traffic.
2. Implement detection rules for unauthorized changes to Startup folders, Registry Run keys, and Scheduled Tasks.
3. Alert on events where Windows security controls are programmatically disabled.
■ Reference
- Securonix Report / The Hacker News
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical briefing regarding the DEEP#DOOR backdoor framework.
■ Overview
DEEP#DOOR is a Python-based framework that disables Windows security via 'install_obf.bat' and deploys 'svc.py'. It ensures persistence through Registry Run keys, Scheduled Tasks, and WMI subscriptions, utilizing tunneling services for data exfiltration of browser and cloud credentials.
■ Scope
- Windows OS environments
■ Mitigation Steps
1. Monitor EDR/SIEM for suspicious Python process executions and unauthorized tunneling tool traffic.
2. Implement detection rules for unauthorized changes to Startup folders, Registry Run keys, and Scheduled Tasks.
3. Alert on events where Windows security controls are programmatically disabled.
■ Reference
- Securonix Report / The Hacker News
Priority: High
Deadline: Immediate