サイバーセキュリティ企業Palo Alto NetworksのUnit 42による最新レポートによれば、Ashen Lepusとして知られるサイバー諜報グループが、AshTagと呼ばれる新たな一連の悪意あるツールを積極的に使用し、中東全域の政府機関および外交機関を攻撃しているという。このグループはハマスとの関連が指摘されており、WIRTEという名称でも追跡されている。報告によると、同グループは2018年以降、情報収集キャンペーンを実施してきた。
執拗なスパイ活動キャンペーン
研究者らは、イスラエル・ハマス紛争の期間中に活動が鈍化した他の類似グループとは異なり、Ashen Lepusは「継続的に活発な状態を維持」し、2025年10月のガザ停戦後も作戦を続けたと指摘している。
当初、研究者らは、同グループがパレスチナ自治区に地理的に近い国々、例えばパレスチナ自治政府、エジプト、ヨルダンに焦点を当てていることを観測した。しかし、追加調査により標的の顕著な拡大が明らかになり、現在はオマーンやモロッコも含まれている。
攻撃手法について、レポートは、ハッカーが中東の地政学的情勢に関するニュースや報告書を装った文書を用いて被害者をだまし、ファイル共有サービスを通じて配布していることを明らかにしている。
これらのテーマは、アラブ連盟や国連安全保障理事会に言及することもあり、最初に「無害なPDFファイル」として届けられ、標的をファイル共有サービスへ誘導して実際の悪意あるファイルをダウンロードさせる。最近では、トルコおよびパレスチナ自治政府との関係により関連した題材も、誘い文句として含まれている。
AshTagマルウェアの分析と攻撃チェーン
このキャンペーンの中核要素である新しいAshTagマルウェアスイートは、ファイルを窃取し、被害者のコンピューター上で遠隔からコマンドを実行するよう設計されている。感染は、最初の誘導によって標的が圧縮されたRARアーカイブをダウンロードするところから始まり、そこには3つの主要コンポーネントが含まれる。偽の文書、悪意あるバックグラウンドプログラム(ローダー)、そしてDocument.pdfという名前の別の無害なPDFである。
被害者が偽の文書を開くと、悪意あるローダーがバックグラウンドでひそかに起動し、その直後にDocument.pdfが表示される。この巧妙な手口により、標的はファイルを正常に開けたと信じ込む一方で、Unit 42がAshenOrchestratorと呼ぶ実際のマルウェアが気付かれないまま読み込まれる。
注目すべき点として、このグループは活動の隠蔽がより巧妙になっている。例えば、api.healthylifefeed.comのような無害に聞こえるウェブサイトアドレスを用い、マルウェアの通信を通常のインターネットトラフィックに見せかけている。
さらに攻撃者は、悪意あるソフトウェアをコンピューターのメモリ内で直接実行(インメモリ実行)しており、セキュリティツールが通常探す痕跡を残さないようにしている。
このような運用上のセキュリティ向上の取り組みにより、検知を回避しやすくなっている。AshTagマルウェアがシステムへの侵入に成功すると、ハッカーは「手作業によるデータ窃取」を行い、盗み出す前に、しばしば被害者のメールアカウントから外交関連の特定文書へアクセスする。中東の組織、特に政府および外交分野の組織は、この継続的かつ進化する脅威に対して警戒を維持するよう求められている。
翻訳元: https://hackread.com/hamas-hackers-ashtag-malware-diplomats/
