C
月内に
中国の攻撃グループ「Red Lamassu(別名Calypso)」が、アジア太平洋および中東の電信業者を標的に攻撃を仕掛けています
📌 一言でいうと
中国の攻撃グループ「Red Lamassu(別名Calypso)」が、アジア太平洋および中東の電信業者を標的に攻撃を仕掛けています。Linux向けのモジュール型フレームワーク「Showboat」と、Windows向けの高度なスパイウェア「JFMBackdoor」という2つの新型マルウェアが使用されています。これらのツールは、長期的な潜伏、遠隔制御、および機密情報の収集を目的として設計されています。
🔍該当判定
- 自社で通信事業(インターネット回線提供や電話サービス等)を運営している
- 社内でLinuxサーバーを運用し、外部からアクセス可能な状態で公開している
- 社内でWindows PCやサーバーを運用しており、不審な外部接続を制限していない
- 中東やアジア(特にカザフスタン、アフガニスタン、インド)の企業とシステム連携している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
LinuxおよびWindowsサーバーにおける不審なプロセスの監視、Pastebin等の外部サイトへの不自然な通信の検知、および特権アカウントの管理強化を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系APTグループ Red Lamassu による電信業者への攻撃について
お疲れさまです。Red Lamassu (Calypso) による新型マルウェアを用いた攻撃に関する情報共有です。
■ 概要
中国系アクターがLinux向け「Showboat」およびWindows向け「JFMBackdoor」という新型マルウェアを使用し、電信業者を標的に長期的な潜伏と遠隔制御を試みています。Showboatはモジュール型で外部サイト(Pastebin等)を指令サーバーとして利用し、JFMBackdoorは画面キャプチャやレジストリ操作が可能な高度なスパイウェアです。
■ 影響範囲
- Linuxシステム (Showboat)
- Windowsシステム (JFMBackdoor)
- 特に電信・通信インフラ業界
■ 対応手順
1. サーバーからのPastebinや不審なフォーラムへのアウトバウンド通信の監視・遮断
2. Windowsレジストリの不審な変更および未知の永続化サービスの確認
3. Linux環境における不審なモジュールのロードおよび権限昇格の兆候の調査
■ 参考情報
- LumenおよびPwCの調査レポート
対応優先度: 中
対応期限: 継続的な監視を推奨
お疲れさまです。Red Lamassu (Calypso) による新型マルウェアを用いた攻撃に関する情報共有です。
■ 概要
中国系アクターがLinux向け「Showboat」およびWindows向け「JFMBackdoor」という新型マルウェアを使用し、電信業者を標的に長期的な潜伏と遠隔制御を試みています。Showboatはモジュール型で外部サイト(Pastebin等)を指令サーバーとして利用し、JFMBackdoorは画面キャプチャやレジストリ操作が可能な高度なスパイウェアです。
■ 影響範囲
- Linuxシステム (Showboat)
- Windowsシステム (JFMBackdoor)
- 特に電信・通信インフラ業界
■ 対応手順
1. サーバーからのPastebinや不審なフォーラムへのアウトバウンド通信の監視・遮断
2. Windowsレジストリの不審な変更および未知の永続化サービスの確認
3. Linux環境における不審なモジュールのロードおよび権限昇格の兆候の調査
■ 参考情報
- LumenおよびPwCの調査レポート
対応優先度: 中
対応期限: 継続的な監視を推奨
Subject: [Intel] Attack on Telecom Providers by Red Lamassu (Calypso)
Dear Team,
We are sharing intelligence regarding a campaign by the Chinese threat actor Red Lamassu (also known as Calypso).
■ Overview
The actor is deploying two new malware strains: 'Showboat' (a modular post-exploitation framework for Linux) and 'JFMBackdoor' (a comprehensive spy tool for Windows). These tools enable long-term persistence, remote command execution, and data exfiltration, with Showboat notably using external sites like Pastebin for C2 communication.
■ Scope
- Linux systems (Showboat)
- Windows systems (JFMBackdoor)
- Primary targets: Telecommunications sector
■ Recommended Actions
1. Monitor and block outbound traffic to Pastebin and other suspicious text-sharing sites from critical servers.
2. Audit Windows Registry changes and check for unauthorized persistence mechanisms.
3. Inspect Linux environments for suspicious module loading or unauthorized privilege escalation.
■ Reference
- Reports by Lumen and PwC
Priority: Medium
Deadline: Ongoing monitoring
Dear Team,
We are sharing intelligence regarding a campaign by the Chinese threat actor Red Lamassu (also known as Calypso).
■ Overview
The actor is deploying two new malware strains: 'Showboat' (a modular post-exploitation framework for Linux) and 'JFMBackdoor' (a comprehensive spy tool for Windows). These tools enable long-term persistence, remote command execution, and data exfiltration, with Showboat notably using external sites like Pastebin for C2 communication.
■ Scope
- Linux systems (Showboat)
- Windows systems (JFMBackdoor)
- Primary targets: Telecommunications sector
■ Recommended Actions
1. Monitor and block outbound traffic to Pastebin and other suspicious text-sharing sites from critical servers.
2. Audit Windows Registry changes and check for unauthorized persistence mechanisms.
3. Inspect Linux environments for suspicious module loading or unauthorized privilege escalation.
■ Reference
- Reports by Lumen and PwC
Priority: Medium
Deadline: Ongoing monitoring