パキスタンとの関与が疑われるハッキンググループが、新たなサイバースパイ作戦においてアフガニスタン財務省および地方政府職員を標的にしていたことが、研究者らによって明らかになりました。
インドのサイバーセキュリティ企業Seqriteは、この作戦を中〜高確度でSideCopyに帰属させています。SideCopyはパキスタンとの関連が広く指摘される脅威アクターで、南アジア全域の政府機関・軍・外交機関を標的としてきたことで知られています。
攻撃者は、内部政府文書に偽装した悪意のあるファイルを含むZIPアーカイブを添付したフィッシングメールを使用しました。ファイルのタイトルはパシュトー語で記述されており、知的・心理的戦争に関するセミナーへの参加職員リストを含む文書として提示されていました。
悪意のあるファイルは、アフガニスタン政府のサーバー上に設置されたインフラを通じて配布されていました。これにより攻撃者は、通信トラフィックを正規の政府通信に紛れ込ませ、ネットワークレベルの検出を巧みに回避していました。SideCopyが侵害されたアフガニスタンの教育ドメインサーバーへのアクセスをどのように入手したかは、現時点では不明です。
ファイルが開かれると、XenoRATと呼ばれるオープンソースのリモートアクセス型トロイの木馬が密かにインストールされます。XenoRATは攻撃者が感染システムへの長期的なアクセスを維持することを可能にするマルウェアです。その後、マルウェアはヨーロッパに設置された攻撃者管理のサーバーに接続し、感染コンピューターの監視や追加の悪意ある活動を実行できる状態になりました。
Seqriteによると、パシュトー語の使用は意図的だったと考えられます。同言語はアフガニスタンの政府機関全体で広く使われており、今回の作戦の主要標的と見られる地方の財務担当職員の間でも共通語となっています。
研究者らは、おとり文書の内容が非常に具体的であることから、攻撃者はキャンペーンを開始する前に偵察活動を行っていたと指摘しています。
「被害者が一見通常の内部政府文書を読んでいる間に、マルウェアはすでにバックグラウンドで密かにインストールを完了させています」と、Seqriteの研究者らは記しています。
報告書によると、今回の作戦はアフガニスタン財務省だけでなく、地方の歳入・財務局、パシュトー語話者の政府職員、その他の地方政府職員も広く標的としていました。
SideCopyは少なくとも2019年から活動しており、研究者らによってパキスタンと関連するハッキンググループAPT36(別名:Transparent Tribe)の手口に類似した作戦と繰り返し結び付けられてきました。Seqriteはこれ以前にも、SideCopyが2024年後半にマルウェアツールキットの大規模な刷新の一環として、XenoRATのカスタマイズ版を展開していたことを確認しています。
アフガニスタンの政府職員がフィッシングキャンペーンの標的にされたのは今回が初めてではありません。Seqriteが1月に報告した別の作戦では、正体不明のハッカーらが首相府からの公式文書に偽装したフィッシングメールを使ってアフガニスタン政府職員を標的にしていました。これらのメールはFalseCubと呼ばれるデータ窃取型マルウェアを配布するものでした。研究者らはその作戦を特定の脅威アクターに公式に帰属させていません。
翻訳元: https://therecord.media/afghan-officials-targeted-by-sidecopy
