出典:Gulf MG(Shutterstock経由)
他のハッキング集団からのマルウェアコードに最初は依存していたサイバー諜報グループが、独自のカスタムツールを駆使する高度な脅威オペレーションへと進化し、南アジアの政府機関や外交組織を標的にしています。
カスペルスキーの研究者たちは、このグループを「ミステリアス・エレファント」として追跡しており、今年初めから始まったキャンペーンで、攻撃者が独自のマルウェアや新たな手法を用いて、文書、画像、WhatsAppの通信ファイルなどの機密データを盗み出していることを観察しました。
南アジアのならず者エレファント
ミステリアス・エレファントのこれまでの標的には、パキスタン、バングラデシュ、スリランカ、そして規模は小さいもののアフガニスタン、ネパール、スリランカの組織が含まれています。
「このグループの被害者選定は非常に特異性が高い」と、カスペルスキーの研究者Noushin Shababはブログ記事で今週述べています。攻撃者は、パキスタンが国連安全保障理事会の非常任理事国に立候補する申請書を装ったものなど、巧妙にカスタマイズされたスピアフィッシングメールやおとり文書を使い、関心のある組織の個人を標的にしています。「侵入後は、特権昇格、横移動、機密情報の持ち出しのために様々なツールや手法を駆使します。」
カスペルスキーのレポートは、ミステリアス・エレファントを特定の国家や政府に帰属させてはいません。同社はこの点に関するDark Readingのコメント要請にも即座には応じませんでした。しかし、同社のレポートでは、ミステリアス・エレファントの初期のマルウェアコードが、Origami Elephant、Confucius、SideWinderなど、他のベンダーがインドと関連付けている複数のグループのコードと重複していることが指摘されています。カスペルスキー自身は、これらのコードの重複を、ミステリアス・エレファントと他グループ間の緊密な協力やインフラ共有の可能性を示唆するものと解釈しています。
カスペルスキーはこのグループを特定の政府と結びつけることは控えましたが、レポートではミステリアス・エレファントがツールキットや戦術を大幅に進化させている点を強調しています。
カスペルスキーの分析によると、ミステリアス・エレファントはオープンソースとカスタムコードを組み合わせたコンパクトな多段階ツールキットを使用し、アクセスの維持や横移動を行っています。初期侵入には、開封時に感染チェーンを引き起こすおとり文書を含む、非常にカスタマイズされたスピアフィッシングメールが使われています。
システムに侵入すると、攻撃者はcurl/certutilなどの正規ツールによって読み込まれるPowerShellスクリプトを初期ダウンローダー兼インストーラーとして使用します。ローダーはコマンド&コントロール(C2)サーバーと接続し、攻撃者はカスペルスキーがBabShellと名付けたC++製リバースシェルを展開します。この特注ツールは詳細なシステム情報を収集し、攻撃者が侵害システムをインタラクティブに制御し、追加ペイロードのダウンロードなど任意のコマンドを実行できるようにします。
カスタムマルウェアツール
BabShellがダウンロードする追加ペイロードの一つがリフレクティブPEローダーで、これはWindows実行ファイルをディスクに書き込むことなくメモリ上で直接読み込み・実行できるコードです。カスペルスキーは、MemLoader HidenDeskと名付けられたこのローダーが、解析回避チェックを行い、侵害システム上に隠し環境を作成し、商用のRemcosリモートアクセスツールをダウンロードしていることを確認しました。カスペルスキーが観測したもう一つの新しいローダーはMemLoader Edgeで、攻撃者はこれを使ってVRATという別のバックドアをインストールしています。
攻撃者がメモリ内インプラントとハンズオンアクセスを確立した後は、機密文書やファイル、画像、WhatsAppからのデータなどを盗み出すために特別に設計されたモジュールを使用します。WhatsAppはこの地域でビジネスや公的なコミュニケーションによく使われています。
その一つがUploというツールで、感染システム上の文書、スプレッドシート、PDF、アーカイブ、画像などの有用なファイルタイプをスキャンし、自動的に攻撃者のC2サーバーにアップロードします。もう一つのStomは、感染システム上のWhatsAppのデスクトップフォルダのほか、他のフォルダやセカンダリドライブも標的にします。三つ目のChromeStealer Exfiltratorは、Google Chromeブラウザのデータや、WhatsApp Webのデータを含むローカル保存情報を盗み出します。
インフラ面では、カスペルスキーはミステリアス・エレファントがワイルドカードDNSと呼ばれる手法を使い、被害者ごとにユニークなドメインを生成して追跡や監視を困難にしていることを観測しました。「ミステリアス・エレファントは、アジア太平洋地域の政府機関や外交分野に重大な脅威をもたらす、非常に高度で活発なAPTグループです」とShabab氏は述べています。
ミステリアス・エレファントは、アジアで活動するAPTグループの増加リストの一つです。中国や北朝鮮がこの分野を主導していますが、インドやパキスタンを含む他の地域諸国も独自のサイバー諜報や影響工作を展開しています。
このような脅威に先んじるための鍵は、カスペルスキーがレポートで指摘しているように、脅威インテリジェンスを活用し、特定の脅威アクターの戦術・技術・手順を理解して防御する多層的な防御戦略を持つことです。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/mysterious-elephant-recycled-malware
