B
今週中
中国に関連すると見られる国家支援型のAPTグループ「GopherWhisper」が、政府機関を標的に攻撃を行っています
📌 一言でいうと
中国に関連すると見られる国家支援型のAPTグループ「GopherWhisper」が、政府機関を標的に攻撃を行っています。このグループはGo言語で作成されたカスタムツールキットを使用し、C2通信にOutlook、Slack、Discordなどの正当なサービスを悪用するのが特徴です。また、盗み出したデータを圧縮し、ファイル共有サービスFile.ioにアップロードする独自の流出ツールも使用しています。
🏢影響範囲
モンゴルを含む政府機関
✅該当時の対応
Slack、Discord、Microsoft Graph APIなどの正当なクラウドサービスの不審な通信を監視し、Go言語で記述された未知のバイナリの実行を制限してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なメールやチャットツールへの警戒について
お疲れさまです。情報システム担当です。
現在、正規のチャットツール(SlackやDiscord)やメール(Outlook)を悪用して、機密情報を盗み出す巧妙なサイバー攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知り合いからの連絡であっても、不自然なファイル添付やURLが含まれている場合は、安易に開かず担当までご連絡ください。
2. 業務外のチャットツールを業務端末で利用し、不審なプログラムをインストールしないようご注意ください。
不審な点に気づいた際は、速やかに報告をお願いいたします。
お疲れさまです。情報システム担当です。
現在、正規のチャットツール(SlackやDiscord)やメール(Outlook)を悪用して、機密情報を盗み出す巧妙なサイバー攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知り合いからの連絡であっても、不自然なファイル添付やURLが含まれている場合は、安易に開かず担当までご連絡ください。
2. 業務外のチャットツールを業務端末で利用し、不審なプログラムをインストールしないようご注意ください。
不審な点に気づいた際は、速やかに報告をお願いいたします。
Subject: [Security Notice] Stay Vigilant Against Suspicious Emails and Chat Messages
Hi everyone,
Our security team would like to alert you to a sophisticated cyberattack that leverages legitimate services like Slack, Discord, and Outlook to steal sensitive information.
How you can help:
1. Be cautious of unexpected files or links, even if they appear to come from a known contact. Do not open them if they seem unusual.
2. Avoid installing unauthorized software or using non-business chat tools on company devices.
If you notice anything suspicious, please report it to the IT department promptly.
Hi everyone,
Our security team would like to alert you to a sophisticated cyberattack that leverages legitimate services like Slack, Discord, and Outlook to steal sensitive information.
How you can help:
1. Be cautious of unexpected files or links, even if they appear to come from a known contact. Do not open them if they seem unusual.
2. Avoid installing unauthorized software or using non-business chat tools on company devices.
If you notice anything suspicious, please report it to the IT department promptly.
件名: 【共有】APTグループ「GopherWhisper」によるC2通信の悪用について
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
中国に関連すると見られる国家支援型APTグループ「GopherWhisper」が、Go言語で作成されたカスタムツールキットを用いて攻撃を行っています。特筆すべき点として、C2通信にMicrosoft 365 Outlook、Slack、Discord、およびMicrosoft Graph APIなどの正当なクラウドサービスを悪用し、検知を回避する手法が確認されています。
■ 影響範囲
- 政府機関および関連組織(主にモンゴル等で確認済み)
- Go言語ベースのマルウェア(LaxGopher等)が動作する環境
■ 対応手順
1. Slack、Discord、Microsoft Graph APIへの不審なトラフィック(特に未知の外部ドメインやAPIコール)の監視を強化してください。
2. 署名のない未知のGo言語製バイナリの実行を制限するエンドポイントセキュリティ設定を確認してください。
3. ファイル共有サービス「File.io」への大量データアップロードなどの不審な挙動を検知対象に含めてください。
■ 参考情報
- ESET Research / BleepingComputer
対応優先度: 高(速やかな監視体制の確認を推奨)
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
中国に関連すると見られる国家支援型APTグループ「GopherWhisper」が、Go言語で作成されたカスタムツールキットを用いて攻撃を行っています。特筆すべき点として、C2通信にMicrosoft 365 Outlook、Slack、Discord、およびMicrosoft Graph APIなどの正当なクラウドサービスを悪用し、検知を回避する手法が確認されています。
■ 影響範囲
- 政府機関および関連組織(主にモンゴル等で確認済み)
- Go言語ベースのマルウェア(LaxGopher等)が動作する環境
■ 対応手順
1. Slack、Discord、Microsoft Graph APIへの不審なトラフィック(特に未知の外部ドメインやAPIコール)の監視を強化してください。
2. 署名のない未知のGo言語製バイナリの実行を制限するエンドポイントセキュリティ設定を確認してください。
3. ファイル共有サービス「File.io」への大量データアップロードなどの不審な挙動を検知対象に含めてください。
■ 参考情報
- ESET Research / BleepingComputer
対応優先度: 高(速やかな監視体制の確認を推奨)
Subject: [FYI] Abuse of Legitimate Services by APT Group "GopherWhisper"
Hi all,
This is a security advisory regarding a state-backed threat actor known as GopherWhisper.
■ Overview
GopherWhisper is utilizing a custom Go-based toolkit to target government entities. The group is known for abusing legitimate services—including Microsoft 365 Outlook, Slack, Discord, and the Microsoft Graph API—for command-and-control (C2) communications to bypass traditional security detections.
■ Scope
- Government entities and related organizations.
- Environments susceptible to Go-based malware (e.g., LaxGopher).
■ Recommended Actions
1. Enhance monitoring for anomalous traffic to Slack, Discord, and Microsoft Graph API, specifically looking for unusual API calls or communication patterns.
2. Review endpoint security policies to restrict the execution of unsigned or unknown Go-based binaries.
3. Monitor for unauthorized data exfiltration to file-sharing services such as File.io.
■ Reference
- ESET Research / BleepingComputer
Priority: High (Prompt review of monitoring capabilities is recommended)
Hi all,
This is a security advisory regarding a state-backed threat actor known as GopherWhisper.
■ Overview
GopherWhisper is utilizing a custom Go-based toolkit to target government entities. The group is known for abusing legitimate services—including Microsoft 365 Outlook, Slack, Discord, and the Microsoft Graph API—for command-and-control (C2) communications to bypass traditional security detections.
■ Scope
- Government entities and related organizations.
- Environments susceptible to Go-based malware (e.g., LaxGopher).
■ Recommended Actions
1. Enhance monitoring for anomalous traffic to Slack, Discord, and Microsoft Graph API, specifically looking for unusual API calls or communication patterns.
2. Review endpoint security policies to restrict the execution of unsigned or unknown Go-based binaries.
3. Monitor for unauthorized data exfiltration to file-sharing services such as File.io.
■ Reference
- ESET Research / BleepingComputer
Priority: High (Prompt review of monitoring capabilities is recommended)