出典: Ralf Liebhold / Alamy Stock Photo
ハマスと関係するサイバー脅威グループが、中東全域でスパイ活動を行っている。
「Wirte」――Palo Alto Networks の Unit 42 によって「Ashen Lepus」として追跡されている――は、2018年以降、地域の政府機関や外交組織をスパイしてきた。最近では、オマーンやモロッコのように、イスラエル・パレスチナ紛争と直接の関係が薄い国々にも関心を広げている。そして、その標的範囲の拡大に合わせて、Wirte は新たなマルウェアスイートを開発した。これは、サイバーセキュリティ製品の回避に役立つさまざまな機能を備えている。
「グループが活動を始めた当初は、非常に単純なツールしか使っておらず、背後にいる人物はあまり高度な技術的知識を持っていないように見えました」と、この記事では匿名を希望した Unit 42 の研究者は述べる。「しかし、年月を経るにつれ、このグループはツールとテクニックを進化させてきました。現在、私たちは彼らの能力が進化し、強化されていることを観測しています。」
ハマスの新たなマルウェアと TTP
Wirte のプレイブックは、多くの点で典型的なサイバースパイ活動の教科書どおりだ。被害者は、イスラエル・パレスチナ紛争に関する PDF を添付したフィッシングメールを受け取る。PDF 内のリンクをクリックすると、RAR アーカイブが用意されたファイル共有サービスに誘導される。さらに進んでしまうと、そのマシンのバックグラウンドでダイナミックリンクライブラリ(DLL)のサイドローディング攻撃がトリガーされる。その後、被害者は目的の文書を表示できるが、その裏で Wirte の感染チェーンが静かに開始される。最終的に、ハッカーはキーボード操作による「ハンズオン」の活動を行い、外交的・政治的に重要な文書を盗み出す。
奇妙なことに、Unit 42 は初期の Wirte キャンペーンが、実際には完全なペイロードを配信していなかったことを突き止めた。彼らは、「野外で観測された過去のキャンペーンは、攻撃チェーン開発のテスト段階だった」と結論づけており、完全な形のマルウェアスイート「AshTag」の導入によって、ようやく現在の形に至ったとしている。
AshTag は、ローダー、ステージャー、そしてさまざまな追加モジュールをインストールできるバックドアから構成され、この順番で動作する。優れたスパイ用スイートに共通するように、これらのコンポーネントは秘匿性を念頭に設計されている。
たとえば、ローダーが Wirte のコマンド&コントロール(C2)インフラからステージャーを取得する際、単にウェブページ上に置かれたペイロードを見つけるわけではない。代わりに、それはページ内の HTML ヘッダータグの間に埋め込まれており、ローダーは一見無害な HTML を解析してペイロードを抽出する。
バックドアはこの手口をさらに一歩進めている。ダウンロードされるモジュールは、悪意あるドメインの HTML 内にコメントアウトされたタグを読み取ることでしか見つけられない――多くの検知プログラムが注目しない場所だ。Wirte はペイロードを入念に暗号化しており、公開された調査で現在の手法が明らかになると、そのたびに手法を切り替えている。
パレスチナ紛争における Wirte の位置づけ
Wirte は、少なくともいくつかの点で、他のハマス系高度持続的脅威(APT)とは一線を画している。
とりわけ注目すべきは、ガザでのイスラエルの戦争努力の影響をまったく受けていない点だ。多くのハマス系グループは戦争中に沈黙した。しかし、イスラエル国防軍(IDF)がガザ地区を破壊し、計画的に電力を絞り、さらにはハマス系ハッカーを空爆したにもかかわらず、Wirte は妨げられることなく活動を続けていたように見える。
確証はないものの、Unit 42 の研究者は「紛争中も継続的に活動していたことから、このグループはガザの外から活動している可能性が高いと考えられます。ヨルダン川西岸地区や、その他の国から活動しているのかもしれません」と述べている。
Wirte がガザ紛争の最前線から一歩離れた位置にいるように見えることは、他のハマス系グループと比べて、より多様な中東諸国の政府を自由に標的にしている理由の一端でもあるのかもしれない。多くの場合、依然としてエジプト、ヨルダン、そしてハマスとは対立しつつもヨルダン川西岸地区を拠点とするパレスチナ自治政府のように、イスラエル・パレスチナ紛争と最も密接に関係する標的に焦点を当てている。しかし、Wirte は近年、その傾向から外れつつあるようだ。
Wirte の最新の活動は、依然としてパレスチナ情勢と本質的に結びついている。ソーシャルエンジニアリング用の「餌」には、ハマスそのものや、トルコのような地域諸国が紛争にどのように関与しているかといった内容が頻繁に登場する。しかし研究者たちは、「中東全域で多数のユニークなルアー(誘い文句)を観測しており、持続的かつ広範囲にわたるキャンペーンが展開されていることを示しています」と報告している。
ここでいう「広範囲」は、文字通りの意味と比喩的な意味の両方で理解できる。オマーンとトルコは、地理的に見てイスラエルから中東圏内で到達しうるほぼ最大距離に位置しており(ラバトはエルサレムよりもオスロに近い)、中東と見なされながらもイスラエルから遠い。また、トルコ大統領は近年パレスチナ紛争に関与している一方で、他の二国は一定の距離を保っている。
「Ashen Lepus の被害者プロファイルが従来の地理的標的を超えて拡大していることに加え、新たなルアーテーマが登場していることは、その作戦範囲が広がっていることを示唆しています」と Unit 42 はレポートに記している。「中東地域の組織、特に政府および外交セクターは、この進化し続ける脅威に対して警戒を怠るべきではありません。」
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/hamas-hackers-middle-eastern-diplomats
