Chinese APT Exploits Microsoft Exchange to Breach Energy Sector Network
2026/05/14 gbhackers — 中国と関係する国家支援ハッカー FamousSparrow が、大手エネルギー企業の Microsoft Exchange サーバを侵害した。同一の侵入口を繰り返して再悪用した攻撃者は、数か月にわたるスパイ活動を実行し、Deed RAT/Terndoor バックドアを展開することでネットワーク全体への深いアクセスを維持した。
この活動は、Earth Estries/Salt Typhoon と戦術的に重複する、中国系 APT クラスター FamousSparrow に高い確度で帰属されている。過去の公開報告においても、米国/アジア太平洋/中東/南アフリカにおける通信/政府/テクノロジー分野への攻撃が確認されているため、今回のキャンペーンもランサムウェアや短期的なデータ窃取ではなく、長期的なサイバー・スパイ活動であると評価されている。
特にロシアのウクライナのガス輸送契約の終了/ホルムズ海峡の混乱以降において、アゼルバイジャンから欧州へ向けたガス供給の役割が急速に拡大していることから、今回の攻撃のタイミングと地理的条件は戦略的に極めて重要である。この地理的な回廊上のエネルギー企業を標的とする攻撃者は、地政学的な緊張が高まる欧州のエネルギー・フローの可視化を目論んだとみられる。
実際の侵害は、2025年12月25日に開始されていた。Exchange の IIS ワーカー・プロセス “w3wp.exe” が、MSExchangePowerShellAppPool 配下で ASPX Web シェルを書き込もうとしたことが確認されたことで、ProxyNotShell Exchange エクスプロイト・チェーンが悪用された可能性が強く示唆されている。
Bitdefender の研究者は、2025年12月下旬から 2026年2月下旬にかけて、アゼルバイジャンの石油/ガス企業に対する複数波の侵入を確認した。これは、中国 APT 活動が南コーカサスのエネルギー分野へ拡大した、初の公開インシデントである。最初の侵入から数日間にわたり、攻撃者は key.aspx/log.aspx/errorFE.aspx/signout.aspx などの、無害に見える名称の複数の Web シェルを配置して足場を強化した。
これらの Web シェルは、脆弱なサーバからコマンド実行やマルウェア展開を行うためのコントロール・ポイントとして機能している。背景には、未パッチの Exchange サーバに対するリモート・コード実行を可能にする、既知のエクスプロイト・チェーンである ProxyShell/ProxyNotShell の存在があるが、多くの組織が適切なパッチ適用やセグメンテーションを行わないまま、これらのシステムを公開状態にしているのが現状である。
Bitdefender が指摘するのは、部分的なクリーンアップが行われた後も、攻撃者が同一の Exchange 侵入口へと繰り返して戻ってきた点である。未修正の脆弱性が、APT にとって持続的なアクセス経路となることを明確に示している。
中国 APT による Microsoft Exchange 悪用
第 1 波において、攻撃グループは LogMeIn Hamachi サービスを悪用する DLL サイド・ロード・チェーンで Deed RAT を展開した。これは、正規バイナリ LMIGuardianSvc.exe が悪意ある DLL “LMIGuardianDll.dll” をロードし、暗号化されたペイロード・ファイル “.hamachi.lng” を復号/実行することで、Deed RAT バックドアを展開する仕組みである。
従来のサイド・ロードと異なり、このローダーはロジックを 2 つのエクスポート関数 Init/ComMain に分割しており、ホスト・アプリケーションが通常の起動処理を経て Windows API を呼び出した後にのみ、ペイロードを起動する構造となっていた。そのため、この二段階トリガーは暗黙的な解析回避レイヤーとして機能し、DLL を単体実行するサンドボックスや、単一エクスポート関数のみを呼び出す解析環境では、悪意のコードへ到達できないよう設計されている。
また、ツール・チェーンには、進化の兆候も確認されている。マジック定数の変更 (例: 0xFF66ABCD) や、プラグイン圧縮方式の Snappy から Deflate への移行が確認されており、Deed RAT エコシステムの継続的な開発が強く示唆されている。
その blob データは、カスタム PRNG アルゴリズムにより生成されたバイト列を用いて XOR 復号された後に、プラグインのヘッダ (0xFF66ABCD を含む) のみが部分的に復元される仕組みとなっている。起動後の Deed RAT は、コンフィグ管理/ネットワーク通信/プロキシ/インストール/プロセス・インジェクション向けプラグインをロードすることで、侵害済みホストに対する完全なリモート制御を、FamousSparrow に提供する。
また、後続の攻撃波における C2 通信は、HTTPS を介して “sentinelonepro[.]com” などの、セキュリティ・ベンダーを偽装したドメインへとルーティングされていたことが判明している。
一部インプラントが除去された後も、攻撃者は第 2波を開始して同一の脆弱な Microsoft Exchange サーバから再侵入したが、その時には Mofu ローダーを利用した Terndoor バックドアの展開を試みていた。
具体的には、 “deskbandinjector64.exe” を改名した署名済みバイナリを介して悪意の DLL をサイド・ロードし、最終的にカーネル・モード・ドライバ “vmflt.sys” を配置した。それより、rootkit 型の永続化チェーンを構築しようとしたが、この試みはセキュリティ制御により阻止された。
しかし、その後のメモリ・フォレンジックにより、Mofu 形式のシェルコードが確認されている。このシェルコードが、LZNT1 圧縮された PE ペイロードを復号した際のセクション構造/RC4 実装/ドライバ・ロード挙動は、Cisco Talos の UAT-9244 レポートと一致した。それにより、最終的に Terndoor であると評価された。
この攻撃者は、初期に侵害した Exchange ホストから、ドメイン管理者認証情報を用いた Remote Desktop Protocol (RDP) を介して横展開を達成した。さらに、Impacket 系の atexec/smbexec 手法を悪用して、その他のサーバに Deed RAT を拡散した。これにより、ネットワーク内部に冗長な侵入拠点が構築され、単一ホストのクリーンアップでは完全に排除できない状態が維持される事態となった。
こうした脅威に対して、防御側にとって必要なことは、ProxyShell/ProxyNotShell の影響を受ける Exchange サーバに対する、速やかなパッチ適用または隔離の実施である。それと同時に、IIS ワーカー・プロセスによる Web 公開パスへの ASPX ファイル書き込みを監視する必要がある。
さらに、既知の署名済みバイナリを悪用する DLL サイド・ロードや、非標準パスに存在する疑わしいカーネル・ドライバ・サービスに加え、RDP 管理者セッション直後に PowerShell が起動して実行ファイルが配置される挙動をも監視すべきである。
万が一、Deed RAT または Terndoor の活動を検知した環境においては、このインシデントを長期的なスパイ活動として扱い、高権限認証情報のローテーションと徹底的なメモリ/ネットワーク・フォレンジックを実施した上で、侵入者の完全排除を行う必要がある。
訳者後書:今回の深刻なサイバー攻撃が発生した主な原因は、インターネット上に公開されている Microsoft Exchange サーバに対して、適切なパッチ適用やネットワークのセグメンテーションが行われていなかったことにあります。これにより、攻撃者に既知のエクスプロイト・チェーンである ProxyShell や ProxyNotShell を悪用されてしまい、Web シェルを設置するための足場を許す結果となりました。さらに、部分的なクリーンアップが行われた後も、システムが脆弱な状態で放置されていたことで、攻撃者が同じ侵入口から何度も繰り返し再侵入できてしまいました。
IoT OT Security News 
You must be logged in to post a comment.