イスラエル国家デジタル庁(INDA)の報告によると、イラン政府支援のハッカーグループAPT42が、継続的かつ高度な諜報活動キャンペーンで上級防衛および政府関係者を標的にしています。
攻撃の一環として、ハッカーはソーシャルエンジニアリングの手法を用い、被害者の家族も標的にすることで攻撃範囲を拡大し、主要な標的に対する圧力を強めています。
Calanque、CharmingCypress、Educated Manticore、Mint Sandstorm、UNC788とも呼ばれ、イスラム革命防衛隊(IRGC)情報機関と関連付けられているAPT42は、イスラエル当局によってSpearSpecterとして追跡されています。
INDAが明らかにした新たなキャンペーンでは、会議やミーティングへの招待を装い、被害者を偽のウェブページに誘導して認証情報を収集したり、バックドア感染を引き起こして長期的なアクセスやデータ流出を狙ったりしていました。
ハッカーは、標的となる被害者と数日から数週間かけて関係を築き、ソーシャルメディア、公開データベース、プロフェッショナルネットワークを通じて情報収集を行っていたことが観察されています。
「これにより、被害者の所属先の人物になりすまし、限定的な会議や戦略的なミーティング(場合によっては対面)に関する信じやすいシナリオを作成できます。信頼性を高めるために複数日にわたる会話を継続します。WhatsAppの利用もさらなる信憑性を与えます」とINDAは指摘しています。
標的の価値やグループの作戦目的に応じて、受信者はフィッシングページに誘導されるか、APT42のTameCatマルウェアの展開を引き起こすダミー文書が送付されます。
高度でモジュール式のPowerShellベースのバックドアであるTameCatは、TelegramやDiscordを介してコマンド&コントロール(C&C)通信を確立し、永続性を維持し、システム偵察を行い、ブラウザデータや認証情報を収集します。
また、コマンドの実行やデータの流出も可能で、運用者が追加のペイロードを動的にロード・実行することもできます。
検知を回避するために、このマルウェアはインメモリローダーとして動作し、署名付きのWindowsバイナリや一般的なユーザーツールを利用して通常の活動に紛れ、さまざまな難読化技術を用いています。また、インメモリ暗号化機構を使用してテレメトリやコントローラーペイロードを保護します。
TameCatはペイロードのロードにTelegramを利用します。受信したすべてのメッセージを評価し、特定のパラメータがない場合はPowerShellペイロードとして扱い、実行します。その後、操作結果をメッセージとして送信します。
「この手法により、攻撃者は侵害されたホスト上で動的かつ耐障害性のあるリモートコード実行能力を維持できます。これにより、Cloudflareなどの保護策によって攻撃者のインフラがブロックされた場合でも、永続性と運用継続性が確保されます」とINDAは指摘しています。
Discordは、複数の攻撃を管理しつつ、個々のホストに固有のコマンドを発行するC&C通信チャネルとして利用されていると説明されています。
バックドアはシステム偵察のために4つのモジュールを使用します。これにより、被害者のシステムからブラウザ情報、文書、スクリーンショット、システム情報などの高価値データを選択的に収集し、暗号化チャネル経由で流出させることができます。
「SpearSpecterキャンペーンのインフラは、高度な機動性、ステルス性、運用セキュリティを組み合わせ、高価値標的に対する長期的な諜報活動を維持するよう設計されています。運用者は、正規のクラウドサービスと攻撃者が管理するリソースを組み合わせた多面的なインフラを活用し、シームレスな初期アクセス、永続的なC&C、秘密裏のデータ流出を可能にしています」とINDAは指摘しています。
