インド・ニューデリーの国防省議会議事堂出典: John Michaels via Alamy Stock Photos
ニュース速報
ハッキンググループが、DRATリモートアクセス型トロイの木馬(RAT)の改変版を使用し、「TAG-140」キャンペーンと呼ばれるインド政府機関を標的とした攻撃を行っていたことが確認されました。
Recorded FutureのInsikt Groupの研究者によると、この脅威アクターの活動はSideCopyと重複しており、SideCopyは「サブクラスターまたはTransparent Tribeの運用上の関連組織」と評価されています。
SideCopyは、パキスタン政府と連携した高度持続的脅威(APT)グループであると疑われています。
最新のキャンペーンでは、インド国防省のプレスリリースポータルをクローンして偽装しており、「マルウェアのアーキテクチャおよびコマンド&コントロール(C2)機能の両面でわずかながらも注目すべき変化が見られる」と研究者らは指摘しています。このグループは、従来の政府、防衛、海事、学術分野に加え、インドの鉄道、石油・ガス、外務省関連組織にも標的を拡大しています。
「DRAT V2の導入は、TAG-140がリモートアクセスツールを継続的に改良していることを示しており、.NETベースのDRATから新たなDelphiコンパイル版へと移行しています」と彼らは付け加えました。
両バージョンのRATは、CurlBack、SparkRAT、AresRAT、Xeno RAT、AllaKore、ReverseRATなど、このグループが展開してきた多くのマルウェアの一部です。DRATのバージョン2では、カスタムTCPベースのサーバー主導型コマンド&コントロールプロトコルが更新され、トロイの木馬の機能も拡張されています。
脅威グループは、Insikt GroupがClickFix風のソーシャルエンジニアリング誘導と見なす手法を使って、被害者のデバイスへの初期アクセスを獲得しています。研究者らは正確な配信手法を特定できましたが、攻撃者は標的型フィッシングメールを使用したと推測しています。
「被害者はmshta.exeを介して悪意のあるスクリプトを実行するよう誘導され、これによりBroaderAspect .NETローダーが実行されました。これは以前にもTAG-140によって使用されたことがあります」と研究者は記しています。「BroaderAspectは永続化を確立し、その後DRAT V2のインストールと実行を行います。」
しかし、研究者らはDRAT V2が基本的な感染・永続化手法を用いているため、静的・動的解析で検出可能であるとも指摘しています。このマルウェアの他の機能により、データの流出、追加ペイロードのアップロード、偵察など幅広い行動が可能です。
「これらの機能により、TAG-140は感染システムに対して持続的かつ柔軟な制御を維持でき、補助的なマルウェアツールを展開することなく自動および対話型の事後活動が可能となります」と研究者らは述べています。「特定のマルウェアファミリーではなく、標的型フィッシングのインフラ、ローダーの再利用、行動指標を監視することが、TAG-140の活動を可視化し続ける上で重要となるでしょう。」