SideWinder APTがインドの近隣政府をスパイしていることが発覚

出典: David Davis Photoproductions RF via Alamy Stock Photo

バングラデシュ、ネパール、パキスタン、スリランカを含む南アジアの政府や軍に対する新たなスピアフィッシングキャンペーンが出現しました。

Acronisの研究者たちは、この活動をSideWinder（別名Razor Tiger）に帰属させています。このスパイグループは2018年に初めて発見されましたが、2012年頃に遡ると言われています。一般的にインドの国家機関と考えられており、今回のケースでは、影響を受けた組織がすべてインドを取り囲む国々に属していることからも理解できます。インドは目立って不在です。この国家支援のスピアフィッシングの発見も理解できるもので、数週間前にインドとパキスタンがカシミールの領土でドローン攻撃を交わし、これらの小競り合いが全面戦争に発展する恐れがありましたが、両国は停戦に合意しました。

技術的な観点から見ると、SideWinderの最新の活動では、その高度な戦術、技術、手順（TTP）—多段ローダー、サーバー側ポリモーフィックマルウェア、その他の策略—と、8年前のMicrosoft Officeの脆弱性が組み合わされていることが際立っています。

“その作戦は、信頼性のある初期アクセスを得るためにレガシーの脆弱性を活用し、検出を避けるために高度な回避戦術を用いるという、伝統的な手法と現代的な手法のブレンドを示しています”と、Acronisのリード脅威対応ユニット研究者であるサンティアゴ・ポンティロリは説明します。”その多層的な配信アプローチは、ジオフェンシング、コンテキスト検証、デコイのフェイルセーフ、ポリモーフィックペイロードに依存しており、最も高度なAPTグループ以外ではめったに見られない隠密性、精度、適応性の洗練されたバランスを示しています。”

関連記事:トルコのAPTがチャットアプリのゼロデイを利用してイラクのクルド人をスパイ

南アジア政府のフィッシング

SideWinderは1月に数十のコマンド＆コントロール（C2）ドメインを登録または再指向し、その最新のキャンペーンの開始を示しています。

情報を盗むマルウェアで被害者を感染させるために、SideWinderは南アジアのさまざまな国の公式政府業務に関する文書を偽造したり、オンラインで実際の文書を入手したりしています。これらの文書は、一見すると機密情報のように見えるかもしれません。

VirusTotalにアップロードされたサンプルに基づいて、SideWinderのフィッシングメールの少なくとも2つの重要なターゲットが確認されています: スリランカ中央銀行とスリランカ陸軍第55師団大隊、同国の主要な歩兵部隊で、1万人以上の兵士で構成されています。

Acronisはまた、スリランカ（29）、バングラデシュ（22）、パキスタン（10）、ネパール（5）からこのキャンペーンに関与する他の数十の組織を特定しました。それらには、バングラデシュの国防省と財務省、スリランカの外部資源局と財務運営局、パキスタン海軍本部のサイバーセキュリティ部門が含まれます。しかし、これらの組織が攻撃の被害者であるのか、それともその資材が実際の被害者をフィッシングするために単に使用されたのかは不明です。

関連記事:インド・パキスタン紛争中、ハクティビストの影響はほとんどなし

ポンティロリは、「2025年のキャンペーンで観察されたターゲティングは、南アジアの地域的な動態に一致しているようです。バングラデシュ、パキスタン、スリランカのような国々の政府や防衛関連の組織に焦点を当てていることは、脅威アクターが地域の問題に関連する情報や戦略的情報を追求していることを示唆しています。正確な動機は確認されていませんが、ターゲットのタイミングと性質は、より広範な地政学的な発展との関連を示している可能性があります。」

2025年における2017年のMicrosoft Officeのバグの悪用

感染したメールの添付ファイルを開くと、CVE-2017-0199の悪用が引き起こされます。このMicrosoft Officeの脆弱性は非常に古いため、国家脆弱性データベースでの記録は「リソースやその他の懸念事項のためにNVDの強化努力の優先順位が付けられていない」とされています。この欠陥は、古いOfficeソフトウェアがファイル内の特定の埋め込みオブジェクトを処理する方法にあり、SideWinderがターゲットシステムで侵入チェーンを引き起こすことを可能にします。

関連記事:パハルガム攻撃後、ハクティビストが#OpIndiaの下で団結

侵入チェーンは、被害者がSideWinderが求める正確なプロファイルに合致する場合にのみ実行されます。彼らのIPアドレス、地理的位置、特定のHTTPヘッダーが確認され、すべてのチェックを通過した場合にのみ、悪意のあるリッチテキスト形式（RTF）ファイルが送信されます。このファイルは、リモートコード実行（RCE）を可能にするメモリ破損の問題である2番目のMicrosoft Officeの脆弱性、CVE-2017-11882を悪用します。CVE-2017-0199と同様に、CVE-2017-11882も現在8歳であり、どちらも共通脆弱性評価システム（CVSS）バージョン3.xメトリックで「高い」7.8の評価を受けています。

このような古びた脆弱性は2025年でも有用であるとポンティロリは言います。なぜなら、多くの組織が依然として大規模にパッチが適用されていないからです。攻撃者の観点から見ると、「古いエクスプロイトはよくテストされており、安定しており、MetasploitやCobalt Strikeのような広く使用されているフレームワークに頻繁に統合される公開された概念実証コードが付属しているため、低コストで低労力で展開できます。新しいゼロデイとは異なり、開発が高価で、検出や帰属のリスクが高い古いCVEは、運用上のセキュリティを維持し、高度なツールを燃やす可能性を減らす戦略的な利点を提供します」と彼は説明します。

彼はまた、他の最近のキャンペーンに言及しています。「APT28やAPT36のようなグループによるもので、フィッシング作戦でレガシーOfficeの脆弱性を何度も利用してきたほか、ランサムウェアのオペレーターも依然として長期間パッチが適用されていないが未解決の問題であるEternalBlueをスキャンしています。」

この感染チェーンの終わりには、.NETベースのモジュラー型スパイキットである「StealerBot」があり、メモリ内で実行されます。StealerBotの多くの機能には、ブラウザからのパスワードの盗難、Windowsの資格情報のフィッシング、ターゲットシステムでの攻撃者の特権のエスカレーションが含まれます。

“他のAPTグループのように最も高度なまたは新たに発見されたエクスプロイトを使用しないかもしれませんが、SideWinderの古くて信頼性のある脆弱性の慎重な使用と柔軟で一貫して維持されるツールセットの組み合わせは、このアクターが派手または過度に複雑な技術よりも効果的で隠密性があり、長期的な成功を優先していることを示しています”とポンティロリは言います。

最新のDark Reading Confidentialポッドキャストをお見逃しなく、The Day I Found an APT Group in the Most Unlikely Placeでは、脅威ハンターのイスマエル・バレンスエラとヴィトール・ベンチュラが、高度な持続的脅威を追跡するために使用したトリックと、その過程で発見した驚きの話を共有しています。今すぐ聞く！