- カスペルスキーが、東南アジアの政府システムを標的とする長期キャンペーン「GoSerpent」を発見。バックドア、RAT(Stowaway)、窃取ツール(TmcLoader)を使用
- 攻撃者は検知を回避しログ保存期間を超えて活動を続けるため、二次ツールの展開まで数週間待つ極めて忍耐強い姿勢を見せている
- 攻撃者の特定には至っていないものの、過去のTetrisPhantomの活動との重複が確認されており、防御担当者には公開されたIoCの確認による侵害検知が呼びかけられている
セキュリティ研究者集団カスペルスキーは、東南アジア地域の政府コンピューターに5年にわたり潜伏し、機密情報やその他の実用的なインテリジェンスを収集していたマルウェアを発見しました。
同社が分析したのは「GoSerpent」と呼ばれるキャンペーンで、同名のバックドア、Remote Access Trojan(RAT)の「Stowaway」、そして2段階のデータ窃取ツール「TmcLoader」から構成されています。
このバックドアが初めて使用されたのは2021年とされており、実に5年もの間、発見を免れていたことになります。これは、豊富な忍耐力と周到な計画をはじめとする複数の要因によって実現されたものです。
TetrisPhantom
カスペルスキーGReATのリードセキュリティ研究者、ヌーシン・シャバブ氏は次のように説明しています。「GoSerpentで際立っているのは、意図的な滞留時間の長さです」
「通常、攻撃者は足がかりを得るとすぐに行動を起こそうとしますが、このグループは最初のバックドアを設置した後、じっと待ちます。二次的な窃取ツールであるTmcLoaderなどを展開する前に、数週間かけてほとぼりが冷めるのを待つのです。これは、標準的なログ保存ポリシーや自動化されたセキュリティスキャンをやり過ごすために計算された行動であり、防御側が最初の侵入と最終的なデータ窃取を結びつけることを極めて困難にしています」
研究者らは、このキャンペーンを特定の脅威アクターに断定的に帰属させることはできなかったものの、被害者の傾向、技術的能力、運用手法の面で、TetrisPhantomという脅威アクターによる過去のキャンペーンと多くの共通点があると述べています。
カスペルスキーは2023年にTetrisPhantomを分析しており、当時同グループは安全なデータ保管のために暗号化を提供するセキュアUSBドライブを侵害していたことが確認されていました。このキャンペーンもアジア太平洋地域(APAC)の政府機関を標的としていましたが、当時は他の既知グループとの重複が見られない、新たに発見された脅威アクターとされていました。