B
今週中
KongTuke(別名Woodgnat)に関連する攻撃者が、長期的なアクセスを維持するために「Mistic」というステルスバックドアを使用していること
📌 一言でいうと
KongTuke(別名Woodgnat)に関連する攻撃者が、長期的なアクセスを維持するために「Mistic」というステルスバックドアを使用していることが判明しました。このバックドアは、正規プロセスに悪意のあるDLLをロードさせることで動作し、保険、教育、ITなどの分野で標的となっています。KongTukeはアクセスブローカーとして活動しており、得たアクセス権をQilinやBlack Bastaなどのランサムウェアグループに販売しています。
🔍該当判定
- 保険、教育、IT、専門サービス業のいずれかに該当する
- 社内PCやサーバーで「version.dll」や「EndpointDlp.dll」という不審なファイルが見つかった
- Qilin, Interlock, Rhysida, Akira, 8Base, Black Bastaなどのランサムウェア攻撃を受けた形跡がある
- 外部のアクセスブローカー(不正アクセス権限を販売する業者)による侵入の兆候がある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なDLLファイル(特にversion.dllやEndpointDlp.dllなどの名称)の作成やロードを監視し、エンドポイント検出および応答 (EDR) ツールを用いて異常なプロセス動作を検知してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】KongTukeによる新バックドア「Mistic」への対応について
お疲れさまです。KongTuke(Woodgnat)に関連する新バックドア「Mistic」に関する情報共有です。
■ 概要
アクセスブローカーであるKongTukeが、標的ネットワークへの長期潜伏を目的としたステルスバックドア「Mistic」を運用しています。正規プロセス(MpExtMs.exe等)に悪意のあるDLL(version.dll)をロードさせ、さらにMisticローダー(EndpointDlp.dll)をドロップする手法が確認されています。
■ 影響範囲
- Windows環境のサーバーおよびエンドポイント
- 特に保険、教育、IT、専門サービス業が標的となる傾向があります
■ 対応手順
1. EDR等のログを確認し、不審なDLL(version.dll, EndpointDlp.dll)のロードや、正規プロセスからの不自然な子プロセスの生成がないか調査してください。
2. ネットワーク内での不審なC2通信の有無を確認してください。
3. 権限管理の徹底と、特権アカウントの監視を強化してください。
■ 参考情報
- Symantec Security Research
対応優先度: 中
対応期限: 随時
お疲れさまです。KongTuke(Woodgnat)に関連する新バックドア「Mistic」に関する情報共有です。
■ 概要
アクセスブローカーであるKongTukeが、標的ネットワークへの長期潜伏を目的としたステルスバックドア「Mistic」を運用しています。正規プロセス(MpExtMs.exe等)に悪意のあるDLL(version.dll)をロードさせ、さらにMisticローダー(EndpointDlp.dll)をドロップする手法が確認されています。
■ 影響範囲
- Windows環境のサーバーおよびエンドポイント
- 特に保険、教育、IT、専門サービス業が標的となる傾向があります
■ 対応手順
1. EDR等のログを確認し、不審なDLL(version.dll, EndpointDlp.dll)のロードや、正規プロセスからの不自然な子プロセスの生成がないか調査してください。
2. ネットワーク内での不審なC2通信の有無を確認してください。
3. 権限管理の徹底と、特権アカウントの監視を強化してください。
■ 参考情報
- Symantec Security Research
対応優先度: 中
対応期限: 随時
Subject: [Intel] New Stealth Backdoor 'Mistic' by KongTuke
Dear Team,
We are sharing intelligence regarding a new stealth backdoor named 'Mistic' linked to the threat actor KongTuke (Woodgnat).
■ Overview
KongTuke, acting as an access broker, utilizes the Mistic backdoor to maintain persistent access for later sale to ransomware groups (e.g., Qilin, Black Basta). The infection chain involves DLL side-loading where a legitimate process (MpExtMs.exe) loads a malicious 'version.dll', which subsequently drops the 'EndpointDlp.dll' loader.
■ Scope
- Windows-based endpoints and servers
- Targeted sectors: Insurance, Education, IT, and Professional Services
■ Recommended Actions
1. Monitor for the creation or loading of suspicious DLLs named 'version.dll' or 'EndpointDlp.dll'.
2. Review EDR logs for anomalous behavior originating from legitimate Microsoft processes.
3. Audit privileged account activity and enhance network segmentation to prevent lateral movement.
■ Reference
- Symantec Security Research
Priority: Medium
Deadline: Ongoing
Dear Team,
We are sharing intelligence regarding a new stealth backdoor named 'Mistic' linked to the threat actor KongTuke (Woodgnat).
■ Overview
KongTuke, acting as an access broker, utilizes the Mistic backdoor to maintain persistent access for later sale to ransomware groups (e.g., Qilin, Black Basta). The infection chain involves DLL side-loading where a legitimate process (MpExtMs.exe) loads a malicious 'version.dll', which subsequently drops the 'EndpointDlp.dll' loader.
■ Scope
- Windows-based endpoints and servers
- Targeted sectors: Insurance, Education, IT, and Professional Services
■ Recommended Actions
1. Monitor for the creation or loading of suspicious DLLs named 'version.dll' or 'EndpointDlp.dll'.
2. Review EDR logs for anomalous behavior originating from legitimate Microsoft processes.
3. Audit privileged account activity and enhance network segmentation to prevent lateral movement.
■ Reference
- Symantec Security Research
Priority: Medium
Deadline: Ongoing