サイバーセキュリティ企業Check Pointによると、パキスタン政府と関係のあるハッキンググループが2024年を通じて、インドの著名な組織を繰り返し標的にしたサイバー諜報キャンペーンを展開している。
Check Point Researchの研究者は、APT36としても知られる、パキスタンに帰属するとされるサイバー諜報グループ「Transparent Tribe」が展開するカスタムインプラント「ElizaRAT」の継続的な使用を綿密に追跡している。
研究者らは2024年に、このリモートアクセス型トロイの木馬(RAT)を用いた複数のキャンペーンを観測しており、その多くは成功した可能性が高い。
ElizaRATの背景
この悪意あるグループは、少なくとも2023年9月以降ElizaRATを使用している。
ElizaRATの感染は、Google Storageのリンクを通じて配布されるWindowsコントロールパネル(CPL)ファイルによって開始されることが多く、フィッシングにより配布されている可能性が高い。ElizaRATは配布およびコマンド&コントロール(C2)通信に、Google、Telegram、Slackなどのクラウドサービスを利用する。
ElizaRATの機能には、次のようなものも含まれる。
- マルウェアは.NETで書かれており、Costuraを使用して.NETおよびアセンブリモジュールを埋め込む
- おとりとして誘導用の文書や動画をドロップする
- 多くのサンプルでは、IWSHshellを使用してマルウェアへのWindowsショートカットを作成する
- 多くのサンプルでは、流出前に被害者のマシンから取得したファイルをローカルデータベースに保存するリソースとしてSQLiteを使用する
- 一意の被害者IDを生成し、マシン上の別ファイルに保存する
APT36によるElizaRATの改良
しかし、2023年末にかけて、ElizaRATの実行手法、検知回避、C2通信のいずれもが進化していることが明らかになった。
Check Point Researchは、2023年末から2024年初頭にかけての3つのキャンペーンにおいて、攻撃者がElizaRATの別バリアントを使用し、情報を自動的に収集する特定の第2段階ペイロードをダウンロードしていたことを確認した。
研究者らは、これらの各キャンペーン(Slackキャンペーン、Circleキャンペーン、Google Driveキャンペーンと命名)についての技術分析を、11月4日に公開した最新のブログ記事で共有した。
分析により、マルウェアの回避技術が継続的に強化されていることが明らかになり、Circle ElizaRATと呼ばれる改良版が生まれ、特定の標的に対して新たなスティーラー型ペイロード「ApoloStealer」が導入された。
Check Pointの研究者は次のように結論づけた。「ElizaRATの進化は、検知をより回避し、インドの組織を効果的に標的化するためにマルウェアを強化しようとするAPT36の意図的な取り組みを反映している。ApoloStealerのような新しいペイロードの導入は、APT36のマルウェア兵器庫の大幅な拡大を示し、同グループがペイロード展開において、より柔軟でモジュール型のアプローチを採用していることを示唆する。これらの手法は主としてデータ収集と流出に焦点を当てており、情報収集と諜報活動を重視し続けていることを浮き彫りにしている。」
翻訳元: https://www.infosecurity-magazine.com/news/pakistan-hackers-high-profile/
