TokyoBlackHatNews

gbhackers.com 4分で読了

SideWinder APT、所得税局を装ってインドの組織にサイバー攻撃を開始

Zscaler Threat Huntingは、偽の「所得税局」ポータルを通じてインドの組織を標的とする高度なスパイ活動キャンペーンを特定しました。これは、SideWinder APTの運用上の手口が大きく進化したことを示しています。

RattlesnakeまたはAPT-C-17としても知られるこの脅威アクターは、正規のMicrosoftバイナリを用いたDLLサイドローディング手法を活用し、中国の企業向けソフトウェアのプロトコルを模倣することで、企業の検知システムを回避できるように武器群を洗練させています。

このキャンペーンは、標的選定において外科手術のような精密さを示しています。Zscalerの研究者は観測として、マルウェアがtimeapi.ioおよびworldtimeapi.orgを介して被害者のタイムゾーンを照会し、システムが南アジアのタイムゾーン(UTC+5:30)を報告した場合にのみ処理を進めるという明確なジオフェンシング挙動を確認しました。これは、インドに対する超限定的なフォーカスを裏付けています。

Image
圧縮されたInspection[.]zipの内容。

企業の被害者は、アジア太平洋地域全体にわたり、サービス、小売、通信、医療などの重要セクターに及んでおり、これは場当たり的なサイバー犯罪ではなく、戦略的な情報収集作戦であることを示しています。

欺瞞的な配布チェーン

攻撃のライフサイクルは、行動喚起を含むフィッシングメールから始まり、被害者をsurl liのURL短縮サービス経由で、インドの所得税局を装った不正ポータル(gfmqvip.vip)へリダイレクトします。

被害者は「Inspection.zip」のダウンロードを促されます。これにはトロイの木馬化されたパッケージが含まれており、正規のMicrosoft Defender実行ファイル(SenseCE.exe)、悪意のあるMpGear.dllライブラリ、そして欺瞞を維持するためのデコイ証明書が同梱されています。

この配布モデルは、GoFileによるパブリッククラウドストレージなどの信頼されたインフラと、正規のURL短縮サービスを悪用し、通常これらのサービスをホワイトリスト化するレピュテーションベースの検知システムを回避します。

技術的な高度さの中心は、WindowsのDLLハイジャックにあります。被害者が無害に見える「Inspection Document Review.exe」を実行すると、同じディレクトリから悪意のあるMpGear.dllが自動的に読み込まれます。

1日あたり5,000億件のトランザクションを検査するZscalerのZero Trust Exchangeは、SSL/TLSトラフィック、クラウド活動、Webブラウジングにまたがるこれらの断片的なシグナルを相関させ、サイロ化されたエンドポイントツールでは見えない完全な攻撃チェーンを再構築します。

Image
 インド所得税局のフィッシングページ。

SenseCE.exeは正規の署名付きMicrosoftバイナリであるため、セキュリティ製品やエンドポイント検知・対応(EDR)システムは親プロセスを暗黙的に信頼します。

コマンド&コントロール(C2)アーキテクチャ

環境チェックと、3.5分のスリープタイマーによるサンドボックス回避の後、マルウェアは8.217.152.225に接続してシェルコードローダー(/1bin)を取得します。

最終的な常駐エージェント(mysetup.exe)はC:\installに配置され、YTSysConfig.iniによって設定され、180.178.56.230へのビーコン指示が与えられます。

注目すべき点として、このC2プロトコルは、中国の正規エンドポイント管理ツールであるAnqi Shenの独自通信方式を模倣しており、悪意のあるトラフィックを日常的な企業ソフトウェア通信としてさらに紛れ込ませています。

Image
1binシェルコードローダーのダウンロード活動。

実際の悪意のあるコードはディスクに触れることなく完全にメモリ上で実行されるため、従来のファイルスキャンエンジンは無力化されます。

SideWinderの手口は、従来のエンドポイントセキュリティにおける重大な可視性ギャップを突いています。EDRツールはプロセス実行やファイル活動に注目する一方で、重要な文脈、すなわちフィッシングポータルへの初期ブラウザリダイレクト、アーカイブのダウンロード、その後のビーコンパターンを見落とします。

この「環境寄生(Living off the land)」アプローチは、組織に不可能な選択を迫ります。重要なWindowsコンポーネントをブラックリスト化するか、リスクを受け入れるかです。

このキャンペーンは、国家支援の脅威アクターが正規のインフラと信頼されたバイナリを武器化することで防御を回避し続けるよう、手法を進化させていることを浮き彫りにしています。高度持続的脅威はセキュリティツールの隙間で活動するという、厳然たる警鐘です。

翻訳元: https://gbhackers.com/sidewinder-apt/

ソース: gbhackers.com
#APT-C-17 #C2(コマンド&コントロール) #DLLサイドローディング #Microsoft Defender悪用 #SideWinder APT #インド標的 #インメモリ実行 #ジオフェンシング #フィッシング詐欺 #所得税局なりすまし

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚