B
今週中
中国に関連するAPTグループ「GopherWhisper」が、政府機関を標的に攻撃を行っていること
📌 一言でいうと
中国に関連するAPTグループ「GopherWhisper」が、政府機関を標的に攻撃を行っていることが判明しました。このグループはSlackやfile.ioなどの正当なクラウドサービスをC2通信やデータ窃取に悪用し、検知を回避しています。Go言語で作成されたバックドア「LaxGopher」やインジェクター「JabGopher」を用いて、メモリ内での実行やファイル収集を行っています。
🏢影響範囲
政府機関(特にモンゴルなどのアジア地域)および関連組織
✅該当時の対応
正当なクラウドサービス(Slack, file.io等)への不審な通信を監視し、エンドポイントでの未知のGoバイナリの実行を制限してください。また、svchost.exeへの不審なメモリインジェクションを検知するEDR設定を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】中国系APT「GopherWhisper」による正当サービス悪用攻撃について
お疲れさまです。中国系APTグループ「GopherWhisper」の活動に関する情報共有です。
■ 概要
正当なクラウドサービス(Slack, file.io)をC2通信およびデータ送出に悪用する攻撃が確認されました。Go言語製のバックドア「LaxGopher」およびインジェクター「JabGopher」を使用し、svchost.exeのメモリ内で動作させることで検知を回避します。
■ 影響範囲
- 政府機関および関連組織
- Go言語ベースのカスタムマルウェアが動作可能な環境
■ 対応手順
1. Slackおよびfile.ioへの不審なAPI通信(特に未知のユーザーエージェントや大量のデータ送信)のログ確認
2. EDRによるsvchost.exeへの不審なメモリインジェクションの監視強化
3. 未承認のGo言語製バイナリの実行制限
■ 参考情報
- ESET Security Report
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。中国系APTグループ「GopherWhisper」の活動に関する情報共有です。
■ 概要
正当なクラウドサービス(Slack, file.io)をC2通信およびデータ送出に悪用する攻撃が確認されました。Go言語製のバックドア「LaxGopher」およびインジェクター「JabGopher」を使用し、svchost.exeのメモリ内で動作させることで検知を回避します。
■ 影響範囲
- 政府機関および関連組織
- Go言語ベースのカスタムマルウェアが動作可能な環境
■ 対応手順
1. Slackおよびfile.ioへの不審なAPI通信(特に未知のユーザーエージェントや大量のデータ送信)のログ確認
2. EDRによるsvchost.exeへの不審なメモリインジェクションの監視強化
3. 未承認のGo言語製バイナリの実行制限
■ 参考情報
- ESET Security Report
対応優先度: 高
対応期限: 速やかに確認
Subject: [Intel] China-linked APT GopherWhisper abusing legitimate services
Dear Security Team,
We are sharing intelligence regarding the APT group "GopherWhisper," which targets government entities using legitimate services for stealth.
■ Overview
The group utilizes Slack for C2 communication and file.io for data exfiltration. They employ custom Go-based tools: LaxGopher (backdoor) and JabGopher (injector), the latter of which injects the backdoor into svchost.exe memory to evade detection.
■ Scope
- Government sectors and related organizations
- Systems capable of executing Go-based binaries
■ Mitigation Steps
1. Monitor network logs for anomalous API traffic to Slack and file.io.
2. Enhance EDR monitoring for suspicious memory injections into svchost.exe.
3. Implement restrictions on the execution of unauthorized Go-based binaries.
■ Reference
- ESET Security Report
Priority: High
Deadline: Immediate review
Dear Security Team,
We are sharing intelligence regarding the APT group "GopherWhisper," which targets government entities using legitimate services for stealth.
■ Overview
The group utilizes Slack for C2 communication and file.io for data exfiltration. They employ custom Go-based tools: LaxGopher (backdoor) and JabGopher (injector), the latter of which injects the backdoor into svchost.exe memory to evade detection.
■ Scope
- Government sectors and related organizations
- Systems capable of executing Go-based binaries
■ Mitigation Steps
1. Monitor network logs for anomalous API traffic to Slack and file.io.
2. Enhance EDR monitoring for suspicious memory injections into svchost.exe.
3. Implement restrictions on the execution of unauthorized Go-based binaries.
■ Reference
- ESET Security Report
Priority: High
Deadline: Immediate review