中国背景のサイバー攻撃集団「Earth Lamia」が新型バックドア「PULSEPACK」で多業界を標的に – 企業が今すぐ取るべき防御策

深刻化する中国系APT攻撃:Earth Lamiaの脅威とは

近年、サイバーセキュリティの脅威は複雑化・高度化の一途を辿っており、特に国家背景を持つAPT(Advanced Persistent Threat)攻撃集団による被害が世界各国で深刻な問題となっています。

今回、トレンドマイクロの調査により明らかになった中国背景の攻撃集団「Earth Lamia」は、2023年以降、ブラジル、インド、東南アジア諸国の複数業界に対して大規模なサイバー攻撃を展開しており、その手口の巧妙さと被害の深刻さから、世界中の企業や組織が警戒を強めています。

Earth Lamiaの攻撃手法:SQLインジェクションを起点とした多段階攻撃

Earth Lamiaの最も特徴的な攻撃手法は、Webアプリケーションの脆弱性、特にSQLインジェクションの脆弱性を悪用することから始まります。

攻撃の流れは以下のとおりです:

  1. 脆弱性スキャン:標的組織のWebサイトに対して大規模な脆弱性スキャンを実施
  2. SQLインジェクション攻撃:発見したSQLインジェクションの脆弱性を悪用してシステムシェルを開く
  3. 権限昇格:SQLサーバ上に管理者権限を持つ新たなアカウント「sysadmin123」を作成
  4. 横展開:内部ネットワークに侵入し、他のシステムへの攻撃を展開
  5. データ窃取:機密情報の収集と外部への送信

この攻撃では、侵入テストツール「sqlmap」などが悪用されており、一般的なセキュリティ対策では検知が困難な場合があります。

標的業界の変遷:戦略的なターゲット選択

Earth Lamiaの注目すべき特徴の一つは、時期によって標的とする業界を戦略的に変更していることです:

  • 2024年初頭以前:金融業界(特に証券業界と証券代行業界)
  • 2024年後半:運輸業界やオンライン小売業界
  • 最近:IT企業、大学、政府機関

この標的の変遷は、攻撃者が特定の情報や技術の獲得を目的として、計画的にターゲットを選択していることを示しています。

新型バックドア「PULSEPACK」の脅威

2024年8月、Earth Lamiaは新種のバックドア「PULSEPACK」の使用を開始しました。このバックドアの特徴は以下のとおりです:

技術的特徴

  • .NETで開発されたモジュール型バックドア
  • C&Cサーバとの通信に最小限の機能のみを実装したシンプルな設計
  • 必要な機能は個別のプラグインとして開発され、必要時にのみダウンロード
  • 2025年には通信プロトコルをTCPからWebSocketに変更した新バージョンを確認

回避技術

PULSEPACKは以下の高度な検知回避技術を使用しています:

  • DLLサイドローディングによる正規プロセスを装った実行
  • RC4やAES暗号化によるペイロードの保護
  • セキュリティベンダの正規バイナリを悪用したファイルレス攻撃
  • メモリ内でのシェルコード実行による痕跡の最小化

企業が今すぐ実装すべき防御策

Earth Lamiaのような高度な攻撃集団に対抗するためには、多層防御戦略が不可欠です。

基本的なセキュリティ対策

1. 脆弱性管理の徹底

  • 定期的な脆弱性スキャンの実施
  • セキュリティパッチの迅速な適用
  • Webアプリケーションのセキュリティテスト強化
  • SQLインジェクション対策の実装

2. アクセス制御の強化

  • 最小権限の原則の徹底
  • 多要素認証(MFA)の導入
  • 特権アカウントの監視強化
  • ネットワークセグメンテーションの実装

高度な検知・防御技術の導入

エンドポイント保護の強化

従来のアンチウイルスソフト 0だけでは、Earth Lamiaのような高度な攻撃を完全に防ぐことは困難です。最新のアンチウイルスソフト 0は、以下の機能を提供しています:

  • 行動ベース検知によるファイルレス攻撃の検出
  • 機械学習を活用した未知の脅威の検知
  • DLLサイドローディングなどの高度な回避技術の検出
  • リアルタイムでの脅威分析と自動対応

ネットワーク監視の強化

  • 異常なネットワークトラフィックの監視
  • C&Cサーバとの通信検知
  • DNSクエリの分析
  • 暗号化されたトラフィックの分析

リモートワーク環境のセキュリティ強化

特にリモートワーク環境では、VPN 0の使用が重要です。高品質なVPN 0は以下の保護を提供します:

  • 通信の暗号化による盗聴防止
  • IPアドレスの隠蔽による攻撃者からの追跡回避
  • 地理的制限の回避による安全な接続
  • マルウェア配信サイトへのアクセスブロック

インシデント対応計画の策定

事前準備

  • インシデント対応チームの編成
  • 連絡体制の整備
  • 復旧手順の文書化
  • 定期的な訓練の実施

検知と初動対応

  • 24時間体制での監視体制構築
  • 自動アラート機能の設定
  • 初動対応手順の標準化
  • 証拠保全の手順確立

継続的な脅威インテリジェンスの活用

Earth Lamiaのような攻撃集団は、常に新しい手法を開発し、攻撃戦術を進化させています。そのため、最新の脅威情報を継続的に収集し、防御策を更新することが重要です。

脅威インテリジェンスの活用方法

  • セキュリティベンダからの脅威情報の定期的な確認
  • 業界団体での情報共有への参加
  • IoC(Indicators of Compromise)の定期的な更新
  • 攻撃パターンの分析と対策の見直し

従業員教育とセキュリティ意識の向上

技術的な対策と同様に重要なのが、従業員のセキュリティ意識向上です。

教育プログラムの内容

  • フィッシング攻撃の識別方法
  • 安全なパスワード管理
  • ソーシャルエンジニアリング攻撃への対処法
  • インシデント発生時の報告手順

まとめ

中国背景の攻撃集団「Earth Lamia」による一連の攻撃は、現代のサイバーセキュリティ脅威の複雑さと深刻さを物語っています。新型バックドア「PULSEPACK」の使用や、高度な検知回避技術の採用は、従来のセキュリティ対策だけでは対応が困難な状況を作り出しています。

企業や組織は、多層防御戦略の実装、最新のアンチウイルスソフト 0VPN 0の導入、継続的な監視体制の構築、従業員教育の充実など、包括的なセキュリティ対策を講じる必要があります。

特に、SQLインジェクション攻撃を起点とする侵入手法に対しては、Webアプリケーションのセキュリティ強化と定期的な脆弱性検査が不可欠です。また、DLLサイドローディングやファイルレス攻撃などの高度な技術に対応するため、行動ベース検知機能を持つ最新のセキュリティソリューションの導入が求められます。

サイバーセキュリティは一度対策を講じれば終わりではなく、脅威の進化に合わせて継続的に改善していく必要があります。Earth Lamiaのような高度な攻撃集団の存在を認識し、プロアクティブなセキュリティ対策を実装することで、組織の重要な資産とデータを守ることができるでしょう。

一次情報または関連リンク

  • https://www.trendmicro.com/ja_jp/research/25/f/earth-lamia.html
  • https://www.elastic.co/security-labs/
  • https://news.sophos.com/
  • https://www.paloaltonetworks.com/research/
  • https://blog.eclecticiq.com/
  • https://www.mandiant.com/resources/
タイトルとURLをコピーしました