パキスタン拠点の脅威グループに関連付けられるリモートアクセス型トロイの木馬(RAT)である GravityRATを用いた長期にわたるスパイ活動キャンペーンが再浮上し、Windows、Android、macOSを標的とする拡張機能が確認されました。
インドの軍および政府機関を標的としたスパイ活動で知られるこのマルウェアは、高度な回避機能とデータ流出機能を備え、進化を続けています。
GravityRATは少なくとも2015年から活動しており、現在も開発が継続されています。攻撃者が侵害したシステムにリモートアクセスして、文書、写真、そしてモバイル端末から暗号化されたWhatsApp バックアップを含む機密データを窃取できるようにします。
ANY.RUNの研究者によると、このマルウェアは現在、デジタル署名と複数のプログラミング言語(.NET、Python、Electron)を用い、正規のファイル共有アプリやメッセージングアプリになりすましています。
このマルウェアは、サンドボックスやエミュレーターでの解析を回避するために、7種類の異なる仮想マシン検知(アンチVM)手法を用います。
注目すべき機能の一つは、Windows Management Instrumentation(WMI)を介してCPU温度を照会することです。VMware、VirtualBox、Hyper-Vなどのハイパーバイザーはハードウェア温度センサーをシミュレートできないため、この機能により多くの仮想環境が露見します。
システムがこのテストに失敗すると、GravityRATは検知回避のために活動を停止します。Windows環境では、GravityRATは悪意のあるマクロを含むOffice文書が添付されたスピアフィッシングメールを通じて侵入することがよくあります。
マクロが有効化されると、隠されたスクリプトが実行ファイルを抽出し、永続化のためのスケジュールタスクを設定し、動的なドメインローテーション手法を用いてリモートのコマンド&コントロール(C2)サーバーに接続します。
Androidへの感染では、 BingeChat や SoSafe Chatのような偽のチャットアプリとして現れ、ソーシャルメディアやサードパーティのWebサイトを通じて宣伝されます。
カスタムのGravityAdmin管理パネルを通じて運用されるマルウェア基盤により、オペレーターはインドの防衛、政府、警察組織を標的とする複数のキャンペーンを調整できます。
ANY.RUNのインタラクティブサンドボックスで起動された最近のサンプルでは、Android亜種がSIM情報、通話履歴、SMSメッセージを収集した後、それらを暗号化しHTTPS経由で流出させる様子が確認されています。さらに、このマルウェアは送信後に端末から痕跡を削除し、行動を隠蔽します。
こうした脅威に対抗するため、サイバーセキュリティの専門家は、厳格なメールおよびモバイルアプリケーションのポリシーを徹底し、振る舞い監視機能を備えたエンドポイント検知・対応(EDR)ツールを導入することを推奨しています。
マクロ有効文書の実行を制限し、ANY.RUNのようなクラウドベースのサンドボックスを利用することで、セキュリティチームは疑わしいファイルを安全に解析し、Threat Intelligence Lookupツールを通じてIOCを追跡できるため、企業ネットワーク全体でのGravityRATの活動検知に役立ちます。
翻訳元: https://cyberpress.org/gravityrat-remote-access-attacks/