Trellixによると、DoNot APTグループは最近、イタリア外務省を標的とした多段階のサイバー諜報キャンペーンを実施しました。
複数のサイバー脅威インテリジェンス企業がインドに関連付けているこのグループは、ヨーロッパの防衛当局者になりすまし、バングラデシュ訪問について言及し、標的を悪意のあるGoogleドライブのリンクへ誘導しました。
「これまで南アジアに焦点を当ててきましたが、今回ヨーロッパの南アジア大使館を標的とした事件は、ヨーロッパの外交通信やインテリジェンスへの関心が明確に拡大していることを示しています」とTrellixの研究者は7月8日のレポートで述べています。
DoNot APTの背景
DoNot APTは、APT-C-35、Mint Tempest、Origami Elephant、SECTOR02、Viceroy Tigerとも呼ばれ、少なくとも2016年から活動しています。
このグループは伝統的に南アジアの地政学的利益に関連したサイバー諜報キャンペーンに注力しています。その活動は、継続的な監視、データの流出、長期的なアクセスが特徴です。
このグループは、YTYやGEditなどのバックドアを含むカスタム構築のWindowsマルウェアを使用することで知られており、これらはしばしばスピアフィッシングメールや悪意のあるドキュメントを通じて配布されます。
多段階の諜報キャンペーンがイタリアの防衛当局者を標的に
Trellixが確認した最新のDoNot APT攻撃は、int.dte.afd.1@gmail[.]comというGmailアドレスから発信されたスピアフィッシングメールから始まり、公式な外交文書を装っていました。標的は外交分野で活動するイタリア政府機関でした。
メールは、イタリアとバングラデシュ間の防衛駐在官の調整に関連する外交的なテーマを利用していました。
調査結果ではメール本文の正確な内容は収集されていませんが、件名「Italian Defence Attaché Visit to Dhaka, Bangladesh(イタリア防衛駐在官のバングラデシュ・ダッカ訪問)」は、正規の外交文書に見せかけた誘導であり、文書の添付やリンクが含まれていることが合理的に想定されます。
メールには、受信者を悪意のあるRARアーカイブ「SyClrLtr.rar」へ誘導するGoogleドライブのリンクが含まれていました。
実行されると、このアーカイブはnotflog.exeを展開し、その後システムの%TEMP%ディレクトリでバッチファイル(djkggosj.bat)を起動しました。
永続性を維持するため、マルウェアは「PerformTaskMaintain」という名前のスケジュールタスクを作成し、10分ごとに実行されるように設定しました。これにより、攻撃者のコマンド&コントロール(C2)サーバーとの継続的な通信が確保され、侵害されたネットワークへの持続的なアクセスが可能となりました。
攻撃の最終的な目的は、標的のインフラ内に足場を築き、機密情報を流出させることでした。
ペイロードの分析により、2018年以降DoNot APTグループが専用で使用しているとされるLoptikModマルウェアとの関連が明らかになりました。
この多段階の感染チェーンは、検知を回避しつつ被害者のシステムへの長期的なアクセスを維持する高度な手法を示しています。
Googleドライブなどの正規サービスの利用や、巧妙に作成されたスピアフィッシング手法は、攻撃者が信頼性を装い、初期のセキュリティ防御を回避しようとする努力を際立たせています。
「最近のヨーロッパの外務省を標的とした事例は、DoNot APTの活動範囲の拡大と機密情報収集への執拗な関心を浮き彫りにしており、より高い警戒と強固なサイバーセキュリティ対策の必要性を強調しています」とTrellixのレポートは結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/indian-cyber-espionage-italian/