Zscaler Threat Huntingは、偽の「所得税局」ウェブサイトを通じてインドの組織を標的とする高度なスパイ活動キャンペーンを発見しました。
この作戦は、RattlesnakeまたはAPT-C-17としても知られるSideWinder APTグループに関連しているとみられ、官僚的な誘い文句と高度な回避戦術を用いて、インド全土およびアジア太平洋地域の近隣諸国にわたる被害者を侵害しています。
Zscalerによると、このキャンペーンは主にサービス、小売、通信、医療分野の企業を標的にしています。
攻撃者はフィッシングメールで被害者を誘導し、gfmqvip[.]vipのような目立たないドメイン上にホストされた不正ポータルへリダイレクトします。
そこからユーザーは、インド所得税局による公式な文書審査パッケージを装った悪意あるファイルInspection.zipをダウンロードするようだまされます。
このアーカイブには、正規のMicrosoft Defenderファイル(SenseCE.exe)、悪意のあるDLL(MpGear.dll)、およびおとりの証明書が含まれています。
実行されると、正規のバイナリがDLLサイドローディングを行い、悪意あるDLLをメモリに読み込んで追加のペイロードを実行し、アンチウイルスの警告を回避します。
SideWinderの最新戦術は、ステルス性と永続性に重点を置いています。Microsoft Defenderの実行ファイルのような信頼されたシステムファイルを悪用することで、脅威アクターは事実上「環境寄生(Living off the Land)」を行い、通常のシステム動作に溶け込みます。
surl[.]liのようなURL短縮サービスや、GoFile.ioのような公開ファイル共有サービスの利用は、これらのプラットフォームが安全と見なされがちなため、ネットワークレベルでの検知をさらに困難にします。
Zscalerのテレメトリにより、被害者のシステムがローカルのタイムゾーンを確認するためにtimeapi[.]ioおよびworldtimeapi[.]orgへ接続していたことが明らかになりました。これは、マルウェアが南アジア地域でのみ有効化されるようにするジオフェンシング手法です。
その後、攻撃者は8[.]217[.]152[.]225および180[.]178[.]56[.]230を含むリモートのコマンド&コントロール(C2)サーバーに接続し、中国の企業向けソフトウェアの活動を模倣するよう設定された常駐型スパイインプラントである、mysetup.exeという名称の二次ペイロードをダウンロードしました。
これらの作戦は、Endpoint Detection and Response(EDR)システムを回避し、信頼されたクラウドプラットフォームを秘匿通信に悪用するよう設計された、SideWinderの進化するツールキットを示しています。
この報告書は、SideWinderが検知回避のために戦術を適応させ続けており、信憑性の高い政府機関のなりすましと低コストのインフラ、そして自前のマルウェアインプラントを組み合わせて地域の標的を侵害していることを強調しています。
Zscalerは南アジア全域の組織に対し、脅威ハンティングの取り組みを強化するよう促しました。こうしたキャンペーンの検知は、アラートではなく、仮説に基づく能動的なハンティングから始まることが多いためです。
翻訳元: https://cyberpress.org/sidewinder-apt-cyber-campaign/