SHEETCREEPとして追跡されている現在進行中のスパイキャンペーンが確認されています。このキャンペーンは、UAEとインドの外交をテーマにしたISOファイルをルアーとして使用し、小型のC#製リモートアクセス型トロイの木馬(RAT)を配布するとともに、Google SheetsをC2(コマンド&コントロール)チャネルとして悪用しています。
UAE-India_Strategic_Partnership_Week.isoという名のこのISOファイルには、一見無害なアイコンに偽装したLNKファイルが含まれており、これがC#製ドロッパーを起動する仕組みになっています。
ドロッパーはおとり用のPDFファイルをテンポラリフォルダに展開し、RATのペイロードを%LOCALAPPDATA%\Microsoft\Vault\vaultsvc.exeに書き込みます。さらに、HiddenおよびSystemの属性を設定し、WindowsVaultSyncServiceという名称のスケジュールタスクをプログラムから作成することで、システムへの永続化を確立します。
フォレンジックの痕跡を消去するため、ドロッパーは自己削除を行い、無害なPDFを元の実行ファイルのパスに移動させます。これにより、システム上にはRATとスケジュールタスクのみが残る仕組みになっています。
RAT本体は小規模な.NETアセンブリで、コマンドの実行を組み込みのPowerShellランスペースに委譲し、C2のデータ保存はすべてGoogle Sheets API v4に依存しています。
Zscaler ThreatLabzが2026年1月に最初に発見した内容を踏まえ、Securonixの分析によると、攻撃者はSheets-as-C2という独自の手法を維持しながら、検出回避能力と運用上の堅牢性を強化する方向にマルウェアを進化させていることが明らかになっています。
起動時には、ユーザー名、ホスト名、SHA256から導出した短いハッシュ値を組み合わせて、被害者ごとに一意のタブ名が生成されます。各被害者には専用のシートタブが割り当てられ、A列にはBase64エンコードされたオペレーターのコマンドが、B列にはBase64エンコードされたコマンド出力が格納されます。
UAE・インド外交テーマのルアー
Sheetsへの認証は、バイナリに埋め込まれたGCPサービスアカウント([email protected])と、バンドルされたRSA‑2048秘密鍵を使用してOAuth2 JWTを生成することで行われます。
アクセストークンは、接続を継続的に維持するため、先を見越してリフレッシュされます。
このバリアントにおける注目すべき進化として、キー「discrete」を使用したXORベースのC2設定文字列の難読化が挙げられます。この難読化はランタイム時にJIT()ルーティンによって復号されます。
これにより、以前の平文による設定情報の保存が置き換えられ、静的解析が大幅に困難になっています。また、RATはアンチ解析・フォレンジック対策機能も実装しており、実行中のプロセスや開いているウィンドウのタイトルをプロファイリングし、dnSpy、Wireshark、Network Monitorなど一般的なアナリスト用・デバッグ用ツールを検出します。さらに、対話型の解析を妨害するため、Restart-Computer -Forceコマンドでホストを強制的に再起動することもあります。
ステルス性の高いコマンド実行を実現するため、マルウェアはSystem.Management.Automationを介してPowerShellをインプロセスで実行します。これにより、可視的なpowershell.exe子プロセスの生成を回避し、EDRによる検出をより困難にしています。
Securonixの研究者らは、バイナリから埋め込みGCP認証情報の抽出に成功し、稼働中のC2スプレッドシートへの認証を確認しました。調査時点で91件のアクティブな被害者タブが列挙されています。
このデータセットには、自動化されたサンドボックスのチェックイン、セキュリティ研究ラボのVM、実際の攻撃対象と思われる複数のエントリ、そしてパキスタンのイスラマバードに所在する信頼性の高いターゲットが含まれていました。
ネットワークテレメトリによると、RATはTLS経由でGoogleの一般的なIPレンジ内のGoogle APIエンドポイントと通信しており、そのトラフィックが正規のGoogle Workspace APIコールと区別がつかないため、ネットワークレベルでの検出は非常に困難です。
ルアーのテーマ設定、配布手法(LNK付きISO)、過去のパターン、そして以前のSHEETCREEPレポートとの重複を踏まえた帰属分析の結果、この活動はAPT36(Transparent Tribe)によるものである可能性が中程度の信頼度で推定されます。同グループは、インドの外交・政府機関を標的としたキャンペーンで知られる攻撃者です。
このキャンペーンで用いられた多層的な回避手法――コマンドラインログを避けるCOMベースのタスク登録、Windowsボルトディレクトリへの隠蔽配置、インメモリPowerShell、難読化された設定、クラウドネイティブなC2――は、攻撃者の高い運用成熟度と、公開レポートへの迅速な対応能力を裏付けています。
防御側は、Task Scheduler COMインターフェース経由で作成されたスケジュールタスク、%LOCALAPPDATA%\Microsoft\Vault内の不審な実行ファイル、インプロセスPowerShellの兆候、そして予期しないスプレッドシートリソースに紐付いた異常なOAuth2 JWTの使用やサービスアカウントの活動を標的とするエンドポイント検出ルールを優先的に整備すべきです。
脅威ハンターは、公開されたサービスアカウント識別子や、SecuronixおよびZscalerが詳述したTTPを活用して、テレメトリ内の一致するパターンを検索し、進行中の侵害を封じ込めることもできます。
翻訳元: https://gbhackers.com/uae-india-diplomatic-lure/
