B
今週中
中国のAPTグループUNC5221(別名VerdantBamboo)が、Microsoft 365環境へのアクセスを維持するためにBrickstorm…
📌 一言でいうと
中国のAPTグループUNC5221(別名VerdantBamboo)が、Microsoft 365環境へのアクセスを維持するためにBrickstorm、Plenet、AgentPSDといった新種のマルウェアを配備していることが判明しました。このグループはエッジデバイスのゼロデイ脆弱性を悪用し、管理サービスプロバイダー(MSP)を経由して標的ネットワークに侵入します。米国などの法的サービスやSaaSプロバイダーが標的となっており、検知まで18ヶ月以上潜伏していた事例も報告されています。
🔍該当判定
- Microsoft 365(旧Office 365)を社内で利用している
- ITインフラやサーバーの運用を外部の管理サービスプロバイダー(MSP)に委託している
- 社外からアクセス可能なネットワーク境界デバイス(VPNルーターやファイアウォール等)を設置・運用している
- 法律事務所やSaaS提供企業などの業種である
上記いずれにも該当しない → 静観でOK
✅該当時の対応
エッジデバイスのファームウェアを最新の状態に保ち、MSP経由の特権アクセス権限を最小限に制限すること。また、Microsoft 365環境における不審なログインや権限変更の監視を強化することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系APTグループ UNC5221 による攻撃キャンペーンについて
お疲れさまです。UNC5221(VerdantBamboo)による新たな攻撃手法に関する情報共有です。
■ 概要
中国系APTグループがBrickstorm、Plenet、AgentPSDといったマルウェアを用い、Microsoft 365環境への長期的なアクセスを維持する活動が確認されています。エッジデバイスのゼロデイ脆弱性悪用や、MSP(管理サービスプロバイダー)を経由したサプライチェーン攻撃を組み合わせる傾向があります。
■ 影響範囲
- Microsoft 365 環境
- 脆弱なエッジデバイス(VPN/ファイアウォール等)
- MSP経由で管理されているネットワーク
■ 対応手順
1. エッジデバイスのパッチ適用状況を確認し、最新バージョンへ更新する。
2. MSPから自社環境へのアクセス権限(特権アカウント)の棚卸しと、最小権限の原則の適用を行う。
3. Microsoft 365の監査ログを確認し、不審なサービスプリンシパルや権限昇格がないか調査する。
■ 参考情報
- BleepingComputer 記事
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。UNC5221(VerdantBamboo)による新たな攻撃手法に関する情報共有です。
■ 概要
中国系APTグループがBrickstorm、Plenet、AgentPSDといったマルウェアを用い、Microsoft 365環境への長期的なアクセスを維持する活動が確認されています。エッジデバイスのゼロデイ脆弱性悪用や、MSP(管理サービスプロバイダー)を経由したサプライチェーン攻撃を組み合わせる傾向があります。
■ 影響範囲
- Microsoft 365 環境
- 脆弱なエッジデバイス(VPN/ファイアウォール等)
- MSP経由で管理されているネットワーク
■ 対応手順
1. エッジデバイスのパッチ適用状況を確認し、最新バージョンへ更新する。
2. MSPから自社環境へのアクセス権限(特権アカウント)の棚卸しと、最小権限の原則の適用を行う。
3. Microsoft 365の監査ログを確認し、不審なサービスプリンシパルや権限昇格がないか調査する。
■ 参考情報
- BleepingComputer 記事
対応優先度: 高
対応期限: 速やかに確認
Subject: [Intel] Threat Campaign by Chinese APT UNC5221
Dear Team,
We are sharing intelligence regarding a campaign by the Chinese APT group UNC5221 (VerdantBamboo).
■ Overview
UNC5221 is deploying advanced malware implants, including the Brickstorm backdoor (written in Golang and Rust), Plenet, and AgentPSD, to maintain persistence within Microsoft 365 environments. The group is known to exploit zero-day vulnerabilities in edge devices and compromise Managed Service Providers (MSPs) to pivot into target networks.
■ Scope
- Microsoft 365 environments
- Edge devices (VPNs, Firewalls)
- Networks managed via MSPs
■ Recommended Actions
1. Ensure all edge devices are fully patched to mitigate zero-day exploitation.
2. Review and restrict privileged access granted to MSPs to the minimum necessary.
3. Audit Microsoft 365 logs for unauthorized service principals or anomalous permission changes.
■ Reference
- BleepingComputer report
Priority: High
Deadline: Immediate review
Dear Team,
We are sharing intelligence regarding a campaign by the Chinese APT group UNC5221 (VerdantBamboo).
■ Overview
UNC5221 is deploying advanced malware implants, including the Brickstorm backdoor (written in Golang and Rust), Plenet, and AgentPSD, to maintain persistence within Microsoft 365 environments. The group is known to exploit zero-day vulnerabilities in edge devices and compromise Managed Service Providers (MSPs) to pivot into target networks.
■ Scope
- Microsoft 365 environments
- Edge devices (VPNs, Firewalls)
- Networks managed via MSPs
■ Recommended Actions
1. Ensure all edge devices are fully patched to mitigate zero-day exploitation.
2. Review and restrict privileged access granted to MSPs to the minimum necessary.
3. Audit Microsoft 365 logs for unauthorized service principals or anomalous permission changes.
■ Reference
- BleepingComputer report
Priority: High
Deadline: Immediate review