B
今週中
中国系APTグループFamousSparrowが、アゼルバイジャンのエネルギー企業を標的にした複数回にわたる侵入活動を行ったこと
📌 一言でいうと
中国系APTグループFamousSparrowが、アゼルバイジャンのエネルギー企業を標的にした複数回にわたる侵入活動を行ったことが判明しました。攻撃者はMicrosoft Exchange Serverの脆弱性を繰り返し利用し、Deed RATやTernDoorといった異なるバックドアを段階的に展開しました。特筆すべきは、修復試行後も同じエントリーポイントを再利用して侵入を継続した点です。
🔍該当判定
- 自社で「Microsoft Exchange Server」を運用(オンプレミス設置)している
- メールサーバーとして「Microsoft Exchange Server」を利用しており、最新の更新プログラムを適用していない
- 自社でメールサーバーを構築・管理しており、外部から直接アクセス可能な状態にある
上記いずれにも該当しない(例:Microsoft 365などのクラウドメールのみ利用) → 静観でOK
✅該当時の対応
Microsoft Exchange Serverの最新パッチ適用を徹底し、不審なプロセスやネットワーク通信がないか監視を強化してください。また、一度の修復で十分とせず、永続的なバックドアが設置されていないか徹底的なフォレンジック調査を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Microsoft Exchange Server を標的としたAPT活動について
お疲れさまです。Microsoft Exchange Serverを悪用した標的型攻撃に関する情報共有です。
■ 概要
中国系APTグループ「FamousSparrow」が、Microsoft Exchange Serverの脆弱性を利用してエネルギー企業へ侵入し、Deed RATおよびTernDoorバックドアを設置した事例が報告されました。攻撃者は修復後も同じ脆弱性を繰り返し利用して再侵入を試みる傾向があります。
■ 影響範囲
- 脆弱性が未修正のMicrosoft Exchange Server
■ 対応手順
1. Exchange Serverの最新セキュリティ更新プログラムが適用されているか確認し、未適用の場合は速やかに適用してください。
2. サーバー内での不審なプロセス(Deed RAT, TernDoor等)や、外部への不審な通信がないかログを確認してください。
3. 侵害が疑われる場合は、単なるパッチ適用だけでなく、バックドアの完全な除去を含むインシデントレスポンスを実施してください。
■ 参考情報
- Bitdefender Threat Intelligence Report
対応優先度: 高
対応期限: 速やかに
お疲れさまです。Microsoft Exchange Serverを悪用した標的型攻撃に関する情報共有です。
■ 概要
中国系APTグループ「FamousSparrow」が、Microsoft Exchange Serverの脆弱性を利用してエネルギー企業へ侵入し、Deed RATおよびTernDoorバックドアを設置した事例が報告されました。攻撃者は修復後も同じ脆弱性を繰り返し利用して再侵入を試みる傾向があります。
■ 影響範囲
- 脆弱性が未修正のMicrosoft Exchange Server
■ 対応手順
1. Exchange Serverの最新セキュリティ更新プログラムが適用されているか確認し、未適用の場合は速やかに適用してください。
2. サーバー内での不審なプロセス(Deed RAT, TernDoor等)や、外部への不審な通信がないかログを確認してください。
3. 侵害が疑われる場合は、単なるパッチ適用だけでなく、バックドアの完全な除去を含むインシデントレスポンスを実施してください。
■ 参考情報
- Bitdefender Threat Intelligence Report
対応優先度: 高
対応期限: 速やかに
Subject: [Intel] APT Activity Targeting Microsoft Exchange Server
Dear team,
We are sharing intelligence regarding a multi-wave intrusion campaign targeting Microsoft Exchange Server.
■ Overview
The China-nexus actor FamousSparrow (UAT-9244) has been observed exploiting Microsoft Exchange Server vulnerabilities to deploy Deed RAT and TernDoor backdoors. A critical finding is the actor's persistence in reusing the same entry point despite remediation efforts.
■ Scope
- Unpatched or vulnerable Microsoft Exchange Server instances.
■ Action Plan
1. Verify and ensure all latest security updates for Microsoft Exchange Server are applied.
2. Monitor for indicators of compromise (IoCs) related to Deed RAT and TernDoor, and audit outbound network traffic for anomalies.
3. In case of suspected compromise, perform a full forensic analysis to ensure all persistence mechanisms are removed, rather than relying solely on patching.
■ Reference
- Bitdefender Threat Intelligence Report
Priority: High
Deadline: Immediate
Dear team,
We are sharing intelligence regarding a multi-wave intrusion campaign targeting Microsoft Exchange Server.
■ Overview
The China-nexus actor FamousSparrow (UAT-9244) has been observed exploiting Microsoft Exchange Server vulnerabilities to deploy Deed RAT and TernDoor backdoors. A critical finding is the actor's persistence in reusing the same entry point despite remediation efforts.
■ Scope
- Unpatched or vulnerable Microsoft Exchange Server instances.
■ Action Plan
1. Verify and ensure all latest security updates for Microsoft Exchange Server are applied.
2. Monitor for indicators of compromise (IoCs) related to Deed RAT and TernDoor, and audit outbound network traffic for anomalies.
3. In case of suspected compromise, perform a full forensic analysis to ensure all persistence mechanisms are removed, rather than relying solely on patching.
■ Reference
- Bitdefender Threat Intelligence Report
Priority: High
Deadline: Immediate