インドのサイバーセキュリティ企業Seqriteの研究者らによると、ハッカーがアフガニスタン政府職員を標的に、同国首相府からの公式連絡を装ったフィッシングメールを送っていることが判明した。
このキャンペーンは12月に初めて検知され、アフガニスタンの各省庁や行政機関に送付される正規の政府書簡に似せて作られたおとり文書を使用している。
文書は宗教的な挨拶で始まり、財務報告に関する公式指示と思われる内容に加え、首相府内の高官の偽造署名が含まれている。これは被害者を誘導してファイルを開かせるための手口だ。
いったん開かれると、この文書はFalseCubと呼ばれるマルウェアの亜種を送り込み、感染したコンピューターからデータを収集して外部へ送信するよう設計されていると、Seqriteは月曜日に公開した報告書で述べた。
研究者らは、攻撃者が悪性ペイロードの一時的なホスティングサービスとしてGitHubを利用していたことを突き止めた。12月下旬に作成されたGitHubアカウントが、作戦が終了するとファイルがひそかに削除されるまで、マルウェアの配布に使われていた。
このキャンペーンの背後にいるハッカーは、アフガニスタン政府機関やタリバンに関連する組織について広範な調査を行っていたようだ。Seqriteは、脅威アクターがScribdのライブラリにアップロードした複数の法務・行政文書を特定しており、その中にはアフガニスタン政府の通達、国防省の通信、アフガニスタンに関連する米国の庇護および人権文書が含まれていた。研究者らによれば、これらの資料は将来のフィッシング用のおとりとして利用される可能性がある。
疑われる脅威アクターは「Afghan Khan」という別名を使用しており、PinterestやDailymotionなど他のプラットフォームでも共有され、少なくとも1つのアカウントがパキスタンに関連付けられていた。研究者らによると、キャンペーンで使用された短縮リンクもパキスタンからアップロードされ、被害者をマルウェアをホストするGitHubリポジトリへリダイレクトしていた。
Seqriteはこのキャンペーンを特定の国や既知のハッカー集団に帰属させなかったものの、研究者らはこの活動を「地域に焦点を当てた、洗練度が低〜中程度の脅威アクター」によるものと評価した。さらに、オンライン上の人物像が繰り返し再利用されている点は、「成熟した国家支援型APTというより、個人のオペレーターまたは小規模な集団」を示唆すると付け加えた。
SeqriteがNomad Leopardという名称で追跡しているこのキャンペーンは、アフガニスタンに限定されず、他国へ拡大する可能性があると警告している。
研究者らは「脅威アクターはそれほど高度ではないが、複数の法務・政府関連のおとり文書を保有しており、将来のキャンペーンで使用される可能性があると考えている」と付け加えた。
翻訳元: https://therecord.media/hackers-target-afghan-workers
