2025年9月、研究者はパキスタン拠点の脅威アクターによる新たな攻撃を2件確認しました。彼らは、ユーザーをだまして悪意のあるISOファイルをダウンロードさせるスピアフィッシングPDFで、インドの政府関係者を標的にしました。
これらのペイロードは、Windowsシステム上のインドのIPアドレスに対してのみ有効化され、スキャナーを回避します。
Gopher Strikeは、ダウンローダーとしてGOGITTER、バックドアとしてGITSHELLPAD、そしてCobalt StrikeをロードするためにGOSHELLを展開します。
アナリストは中程度の確度でAPT36との関連を指摘しており、新たなサブグループの可能性もあります。続報では、AI要素を含むSheet Attackについて取り上げています。
これは、パブリックフォルダーまたはAppDataにwindows_api.vbsというVBScriptをドロップします。このスクリプトは30秒ごとにC2サーバーへポーリングし、「hi 」で始まるコマンドを取得して実行します。
MicrosoftEdge_ConfigurationUpdate_[random]という名前のスケジュールタスクが、50分ごとに永続化を確保します。
この64ビットのGolangツールは、VBScriptがドロップされているかを確認します。存在しない場合は、埋め込み済みのものを保存します。GOGITTERはまた、トークンを用いてプライベートなGitHubリポジトリからadobe_update.zipを取得します。
ZIPはedgehost.exe(GITSHELLPAD)とダミーファイルを展開します。最後に、感染通知のためadobe-acrobat.inへビーコン通信します。いずれも秘匿性のため標準ユーザーフォルダー内に配置されます。
15秒ごとに、GitHub API経由でcommand.txtをポーリングします。cd、run、upload、download、または既定のcmd /c実行をサポートします。出力はresult.txtに書き込まれ、その後command.txtはクリーンアップされます。
脅威アクターは200以上のコマンドを実行しました。net user、systeminfo、curl ifconfig.me/ip、taskkill、RARのダウンロードなどです。完全な一覧はGitHubにあります。
ハードコードされたホスト名を確認し、一致しなければ終了します。その後、HEXデコードし、0xAAでXORし、3〜7秒スリープしてから、QueueUserAPCでステージ2のシェルコードをインジェクトします。ステージ2は、Cobalt Strike Beaconを(キー0x51211104で)XOR復号します。
主要なハッシュには、8f495603be80b513820a948d51723b616fac33f0f382fa4a141e39e12fff40cfのようなGITSHELLPADの亜種が含まれます。
T1566.002:PDF内のスピアフィッシングリンク。T1059.005:VBS実行。T1102.002:GitHubを用いた双方向C2。T1027.001:バイナリのパディング。T1055.004:APCインジェクション。
これらの回避戦術は、インドに対するパキスタン系APTの脅威が進化していることを浮き彫りにしています。防御側は、列挙されたIOCをブロックし、Golangバイナリのスキャンを実施すべきです。
翻訳元: https://cyberpress.org/pakistan-apt-targets-india/