Trellixによると、DoNot APTグループは最近、イタリア外務省を標的とした多段階のサイバー諜報キャンペーンを実施しました。
複数のサイバー脅威インテリジェンス企業によりインドに帰属されている同グループは、欧州の防衛当局者になりすまし、バングラデシュ訪問に言及しつつ、標的を悪意のあるGoogle Driveリンクのクリックへと誘導しました。
「歴史的には南アジアに注力してきましたが、欧州にある南アジア諸国の大使館を標的とした今回の事案は、欧州の外交コミュニケーションおよびインテリジェンスへと関心が明確に拡大していることを示しています」と、Tellixの研究者は7月8日付の報告書で述べました。
DoNot APTの背景
DoNot APTは、APT-C-35、Mint Tempest、Origami Elephant、SECTOR02、Viceroy Tigerとしても知られ、少なくとも2016年から活動しています。
同グループは伝統的に、南アジアの地政学的利害に関わるサイバー諜報キャンペーンに注力しています。その作戦は、継続的な監視、データの持ち出し、長期的なアクセスによって特徴づけられます。
同グループは、YTYやGEditといったバックドアを含むカスタム構築のWindowsマルウェアを使用することで知られており、これらはしばしばスピアフィッシングメールや悪意のある文書を通じて配布されます。
多段階の諜報キャンペーンがイタリアの防衛当局者を標的に
Trellixが特定した最新のDoNot APT攻撃は、Gmailアドレス(int.dte.afd.1@gmail[.]com)から送信されたスピアフィッシングメールから始まり、公式な外交文書のやり取りになりすましていました。標的は、外交分野で活動するイタリア政府機関でした。
このメールは、イタリアとバングラデシュ間の防衛駐在官の調整に関連する外交的テーマを利用していました。
調査結果では本文の正確な内容は収集されていませんが、件名「Italian Defence Attaché Visit to Dhaka, Bangladesh」から、正当な外交文書に見せかけるための誘い文句であったことが示唆され、通常は文書の添付やリンクが含まれていると考えられます。
メールにはGoogle Driveリンクが含まれており、受信者をSyClrLtr.rarという名前の悪意のあるRARアーカイブへ誘導しました。
実行されると、アーカイブはnotflog.exeを展開し、これがシステムの%TEMP%ディレクトリ内のバッチファイル(djkggosj.bat)を起動しました。
永続化を維持するため、マルウェアは「PerformTaskMaintain」という名前のスケジュールタスクを作成し、10分ごとに実行されるよう設定しました。これにより、攻撃者のコマンド&コントロール(C2)サーバーとの継続的な通信が確保され、侵害されたネットワークへの持続的なアクセスが可能になりました。
攻撃の最終目的は、標的のインフラ内に足場を確立し、機微情報を持ち出すことでした。
ペイロードの分析により、2018年以降DoNot APTグループのみが使用していると報告されているツールであるLoptikModマルウェアとの関連が明らかになりました。
この多段階の感染チェーンは、被害者のシステムへの長期的なアクセスを維持しつつ検知を回避するための高度なアプローチを示していました。
Google Driveのような正規のサービスの利用と、綿密に作り込まれたスピアフィッシング手法は、信頼性を装い、初期のセキュリティ防御を回避しようとする攻撃者の意図を浮き彫りにしました。
「欧州の外務省が最近標的となったことは、DoNot APTの活動範囲が拡大し、機微情報の収集に対する継続的な関心があることを示しています。警戒の強化と堅牢なサイバーセキュリティ対策の必要性を改めて浮き彫りにしています」と、Trellixの報告書は結論づけています。
翻訳元: https://www.infosecurity-magazine.com/news/indian-cyber-espionage-italian/
