🔥 この記事の詳細
2026-05-01 更新
C
月内に

DEEP#DOORと呼ばれる新型のPythonベースのバックドアフレームワーク

事案🌐 英語ソース
📅 2026-05-01📰 freebuf
📌 一言でいうと
DEEP#DOORと呼ばれる新型のPythonベースのバックドアフレームワークが発見されました。このツールは、フィッシングなどを通じて配布されるバッチファイルからPythonペイロードを展開し、bore.pubという公開トンネルサービスを利用してC2通信を行います。ブラウザやクラウドサービス(AWS, GCP, Azure)の認証情報窃取、キーログ、画面キャプチャなどの高度なスパイウェア機能を備えており、Windows Defenderの無効化やAMSIパッチなどの強力な検知回避策を実装しています。
🏢影響範囲
Windows OSを利用し、クラウドサービス(AWS, Azure, GCP)を運用しているあらゆる組織
該当時の対応
不審なバッチファイルやスクリプトの実行を禁止し、エンドポイントでのPython実行権限を制限すること。また、bore.pubなどの公開トンネルサービスへの通信をネットワークレベルで監視・制限することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なメールの添付ファイル実行に関する注意について

お疲れさまです。情報システム担当です。
最近、巧妙な手口でパソコンに侵入し、パスワードやクラウドサービスの情報を盗み出す悪意のあるプログラムが確認されています。

ご協力をお願いしたいこと:
1. 心当たりのない送信元からのメールに添付されているファイル(特に.batや.exeなどの実行ファイル)は絶対に開かないでください。
2. 万が一、不審なファイルを開いてしまった場合や、パソコンの動作に違和感がある場合は、すぐに情報システム担当までご連絡ください。

対応期限: 本日中(確認をお願いします)
Subject: [Security Alert] Caution Regarding Suspicious Email Attachments

Dear Employees,

Our security team has identified a new type of malicious software that steals passwords and cloud service credentials by tricking users into running harmful files.

Please follow these guidelines:
1. Do not open attachments (especially .bat or .exe files) from unknown or untrusted senders.
2. If you have accidentally opened a suspicious file or notice unusual behavior on your computer, please report it to the IT department immediately.

Deadline: Immediate
件名: 【共有】新型Pythonバックドア「DEEP#DOOR」への対応について

お疲れさまです。新型のPythonベースRAT「DEEP#DOOR」に関する情報共有です。

■ 概要
Pythonで実装された高度なバックドアで、bore.pubという公開トンネルサービスをC2として利用します。AMSI/ETWパッチ、NTDLLアンフッキング、Windows Defenderの無効化など、強力な検知回避機能を備えています。また、クラウド認証情報(AWS/GCP/Azure)の窃取機能を有しています。

■ 影響範囲
- Windows OS環境
- Python実行環境が整っている端末

■ 対応手順
1. ネットワーク境界において、C2通信先として利用される「bore.pub」への通信ログを確認し、不審な通信がないか調査してください。
2. EDR等の検知ルールに、不審なバッチファイル(install_obf.bat等)によるPythonスクリプトの動的展開パターンを追加してください。
3. 特権アカウントの多要素認証(MFA)を徹底し、認証情報が窃取された際のリスクを低減してください。

■ 参考情報
- Securonix Report / The Hacker News

対応優先度: 高
対応期限: 速やかに確認
Subject: [Technical Alert] New Python Backdoor "DEEP#DOOR"

Dear Security Team,

We are sharing intelligence regarding a new Python-based RAT known as DEEP#DOOR.

■ Overview
DEEP#DOOR is a sophisticated backdoor that leverages the public tunneling service 'bore.pub' for C2 communication. It implements advanced evasion techniques, including AMSI/ETW patching, NTDLL unhooking, and disabling Windows Defender. It specifically targets browser and cloud provider (AWS, GCP, Azure) credentials.

■ Scope
- Windows OS environments
- Systems with Python runtime capabilities

■ Mitigation Steps
1. Review network logs for any outbound traffic to 'bore.pub' and investigate anomalies.
2. Update EDR/SIEM detection rules to identify patterns of Python payloads being dynamically extracted and executed via batch scripts.
3. Enforce strict Multi-Factor Authentication (MFA) for all cloud service accounts to mitigate the impact of credential theft.

■ Reference
- Securonix Report / The Hacker News

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-01 のまとめ🔍 記事を検索