ShadowSilk、Telegramボットを利用し中央アジアおよびAPACの政府機関36件を攻撃

ShadowSilkとして知られる脅威活動クラスターが、中央アジアおよびアジア太平洋（APAC）地域の政府機関を標的とした新たな攻撃に関与していることが判明しました。

Group-IBによると、被害者は約36件特定されており、侵入の主な目的はデータの窃取です。このハッカーグループは、YoroTrooper、SturgeonPhisher、Silent Lynxと呼ばれる脅威アクターが行ったキャンペーンと、ツールセットやインフラ面での共通点があります。

同グループの攻撃被害者は、ウズベキスタン、キルギス、ミャンマー、タジキスタン、パキスタン、トルクメニスタンに及び、その大半が政府機関であり、エネルギー、製造、小売、運輸分野の組織も一部含まれています。

「この作戦はバイリンガルのチームによって運営されており、ロシア語を話す開発者が従来のYoroTrooperのコードに関与し、中国語を話すオペレーターが侵入を主導しています。その結果、機動力の高い多地域型の脅威プロファイルとなっています」と、研究者のNikita Rostovcev氏とSergei Turner氏は述べています。「これら2つのサブグループ間の協力の深さや性質は、依然として不明です。」

YoroTrooperは、2023年3月にCisco Talosによって初めて公に記録され、少なくとも2022年6月以降、ヨーロッパ全域の政府、エネルギー、国際機関を標的とした攻撃が詳細に報告されました。このグループは、ESETによれば2021年まで遡って活動していたと考えられています。

同年後半の追加分析では、ハッカーグループの構成員がカザフスタン出身である可能性が高いことが明らかになりました。これは、カザフ語とロシア語に堪能であり、同国内の組織を標的としないよう意図的に回避していると見られることからです。

さらに今年1月、Seqrite Labsは、Silent Lynxと名付けられた攻撃者によるサイバー攻撃を発見しました。この攻撃はキルギスとトルクメニスタンの様々な組織を標的としており、この脅威アクターもYoroTrooperとの共通点があるとされています。

ShadowSilkは、脅威アクターの最新の進化形であり、標的型フィッシングメールを初期侵入経路として利用し、パスワードで保護されたアーカイブを送り込んでカスタムローダーを展開します。このローダーは、コマンド＆コントロール（C2）通信をTelegramボットの背後に隠して検知を回避し、追加のペイロードを配信します。永続化は、Windowsレジストリを変更してシステム再起動後も自動実行されるようにすることで実現しています。

この脅威アクターはまた、Drupal（CVE-2018-7600およびCVE-2018-76020）やWP-Automatic WordPressプラグイン（CVE-2024-27956）の公開エクスプロイトを利用し、さらにFOFA、Fscan、Gobuster、Dirsearch、Metasploit、Cobalt Strikeなどの偵察・ペネトレーションテストツールを含む多様なツールキットを活用しています。

さらにShadowSilkは、ダークネットフォーラムで入手したJRATやMorf Projectのウェブパネルを感染デバイスの管理に組み込み、Chromeのパスワード保存ファイルとその復号鍵を盗むための独自ツールも使用しています。もう一つ注目すべき点は、正規のウェブサイトを侵害し、悪意あるペイロードのホスティングに利用していることです。

「ネットワーク内部に侵入すると、ShadowSilkはANTSWORD、Behinder、Godzilla、FinalShellといったウェブシェルや、Sharpベースのポストエクスプロイトツール、ResocksやChiselといったトンネリングツールを展開し、横移動、権限昇格、データの窃取を行います」と研究者らは述べています。

これらの攻撃では、Pythonベースのリモートアクセス型トロイの木馬（RAT）が導入され、コマンドの受信やデータのTelegramボットへの送信が可能となり、悪意ある通信が正規のメッセンジャーの活動に偽装されます。Cobalt StrikeやMetasploitのモジュールはスクリーンショットやウェブカメラ画像の取得に利用され、カスタムPowerShellスクリプトはあらかじめ定義された拡張子のファイルを検索してZIPアーカイブにまとめ、外部サーバーへ送信します。

シンガポール企業は、YoroTrooperグループのオペレーターがロシア語に堪能であり、マルウェア開発や初期侵入の支援に従事している可能性が高いと評価しています。

しかし、攻撃者の作業端末を捉えた一連のスクリーンショットには、アクティブなキーボードレイアウトの画像や、キルギス政府のウェブサイトを中国語に自動翻訳している様子、中国語の脆弱性スキャナーが映っており、中国語話者のオペレーターが関与していることを示しています。

「最近の動向から、このグループは依然として非常に活発であり、7月にも新たな被害者が確認されています」とGroup-IBは述べています。「ShadowSilkは中央アジアおよび広範なAPAC地域の政府部門を引き続き標的としており、長期的な侵害やデータ流出を防ぐためにも、そのインフラの監視が重要であることを強調します。」