**GopherWhisper**：新たなステルスAPTグループが登場 2023年以降活動している**GopherWhisper**は、中国との関連が指摘されており、数十件の被害をもたらしたと推定されています。この攻撃グループが正規のコミュニケーションプラットフォームに依存することで、通常のネットワークトラフィックに紛れ込み、そのステルス性と持続性を高めています。 モンゴル政府機関を標的に サイバーセキュリティ企業**ESET**が特定したキャンペーンにおいて、この攻撃グループはモンゴル政府機関を標的にしました。コマンド＆コントロール（C2）通信には、**Slack**、**Discord**、および**Microsoft** Graph APIを使用した複数のバックドアを持つマルウェアスイートを展開しました。  File.io経由でのデータ漏洩 **GopherWhisper**は、盗んだデータを圧縮し、File.ioファイル共有サービスにアップロードするためのカスタムデータ漏洩ツールも採用しています。これにより、活動がさらに隠蔽され、フォレンジック分析が複雑化します。 GopherWhisperツールキット 2025年1月、**ESET**は最初の**GopherWhisper**バックドアをGo言語で検出し、LaxGopherと名付けました。このマルウェアは、プライベート**Slack**サーバーからコマンドを取得し、コマンドプロンプトを使用して実行し、新しいペイロードをダウンロードします。さらなる調査により、主にGo言語ベースの悪意のあるツールのスイートが明らかになりました。 * RatGopher – プライベート**Discord**サーバーをC2として使用するGo言語ベースのバックドア。コマンドを実行し、結果を設定されたチャンネルに投稿します。 * BoxOfFriends – **Microsoft** 365 **Outlook**（**Microsoft** Graph API）を活用して、C2通信用のメールの下書きを作成・変更するGo言語ベースのバックドア。 * SSLORDoor – OpenSSL BIOをRAWソケット（ポート443）上で使用するC++バックドア。コマンドの実行、ファイル操作（読み取り、書き込み、削除、アップロード）、ドライブの列挙が可能です。 * JabGopher – svchost.exeを起動し、LaxGopherバックドア（whisper.dllとして偽装）をメモリにインジェクトするインジェクター。 * FriendDelivery – BoxOfFriendsバックドアを実行するローダーおよびインジェクターとして機能する悪意のあるDLL。 * CompactGopher – コマンドラインからデータを圧縮し、ファイル共有サービスfile.ioに漏洩させるGo言語ベースのファイル収集ツール。  *GopherWhisperツールセット。出典：ESET* 攻撃者のC2インフラへのアクセス Go言語ベースのバックドア内にハードコードされた認証情報にアクセスすることで、**ESET**の研究者は**Slack**、**Discord**、**Microsoft Outlook**上の攻撃者のアカウントにアクセスすることに成功しました。これにより、グループの運用、コマンド、アップロードされたファイル、実験的な活動など、貴重な洞察が得られました。 中国への帰属 **ESET**による6,000件以上の**Slack**メッセージと3,000件以上の**Discord**メッセージの分析、およびC2サーバーからのメタデータは、**GopherWhisper**の起源が中国であることを強く示唆しています。 > 「これらのSlackメッセージのタイムスタンプ検査により、コマンドはUTC 12時～12時の間に発行され、Discordメッセージ履歴からは、コマンドはUTC 12時～14時の間に送信されていたことが明らかになりました。」 タイムゾーン分析もこの帰属を強化し、活動はUTC+8タイムゾーン内の通常の勤務時間中に集中していました。 広範な影響と侵害の兆候 **ESET**のテレメトリデータは、モンゴル政府機関内の12の侵害されたシステムを示していますが、C2トラフィックの分析は「数十の他の被害者」を示唆しています。侵害の兆候（IoC）は、防御者が潜在的な攻撃を特定しブロックするのに役立つように、**ESET**のGitHubで利用可能です。 [GopherWhisperの侵害の兆候](http://github.com/eset/malware-ioc/tree/master/gopherwhisper)は、防御者が新しい脅威クラスターからの攻撃を特定しブロックするのに役立つように、**ESET**から入手可能です。 [Mythosが発見したものの99%はまだパッチが適用されていません。](https://hubs.li/Q04crVgD0) AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が押し寄せます。 Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、悪用可能なものをどのように見つけ、管理が機能することを証明し、修正ループを閉じるかをご覧ください。 [参加登録はこちら](https://hubs.li/Q04crVgD0)