https://sect.iij.ad.jp/blog/2025/09/tinyshell-based-malware-from-unc5325/ (09/04)
『2025年6月、TINYSHELL1をベースに開発された新しいLinux用マルウェアのドロッパーが発見されました。
このマルウェアにはPITHOOKなどのUNC5325が使用するマルウェアと重複するコードが含まれていたことから、UNC5325の攻撃活動と何らかの関係があると考えられます。UNC5325は中国と関連するサイバーエスピオナージを目的とした攻撃者とされており、過去にはIvanti Connect Secureの脆弱性 (CVE-2024-21893) を悪用した攻撃(筆者注、KEVカタログ掲載済み、2024/01/31付け)を実施していることが報告されています2。
…
おわりに
今回は2025年6月に発見された、UNC5325の活動に関わると思われるマルウェアの解析結果を共有しました。マルウェアのSHA256ハッシュ値をAppendixに記載してあります。攻撃活動の検知にお役立てください。
Appendix: IoCs
SHA256ハッシュ値 | 説明 |
6aa22d9a89711816e4ccc4d57634a22dffbb78c43bdec964c2117d525c7e63e5 | ドロッパー |
2b257b31f4377330bd8fcc4fe9728faee0ab4092990debe49bbcf0444d4c1437 | Kubo Injector (/tmp/.b) |
85c64391d54b5854bab8478806d0f4ba00236402868e613fc849b29940e96bcc | マルウェア (/addpkg/lib/libc++.so) |
』
No comments:
Post a Comment