コンテンツにスキップするには Enter キーを押してください

Transparent Tribeがフィッシングを通じて武装化したデスクトップショートカットでインド政府を標的に

投稿日 2025年8月25日

2025年8月25日Ravie Lakshmananマルウェア / サイバー攻撃

Image

Transparent Tribeとして知られる高度持続的脅威(APT)グループが、インド政府機関を標的とした攻撃で、WindowsおよびBOSS(Bharat Operating System Solutions)Linuxシステムの両方に対し、悪意のあるデスクトップショートカットファイルを利用していることが確認されました。

「最初の侵入はスピアフィッシングメールを通じて達成されます」とCYFIRMAは述べています。「Linux BOSS環境は、武装化された.desktopショートカットファイルによって標的とされ、これを開くと悪意のあるペイロードがダウンロードおよび実行されます。」

Transparent Tribe(別名APT36)はパキスタン起源と評価されており、このグループはサブクラスターのSideCopyとともに、長年にわたり様々なリモートアクセス型トロイの木馬(RAT)を用いてインド政府機関への侵入を繰り返してきました。

今回の最新の二重プラットフォーム攻撃は、攻撃者グループの継続的な高度化を示しており、標的範囲の拡大と、侵害された環境へのアクセスの確保を可能にしています。

攻撃の流れは、会議通知を装ったフィッシングメールから始まりますが、実際にはLinux用の罠が仕掛けられたデスクトップショートカットファイル(”Meeting_Ltr_ID1543ops.pdf.desktop”)が添付されています。これらのファイルはPDFドキュメントを装い、受信者を騙して開かせ、シェルスクリプトを実行させます。

このシェルスクリプトはドロッパーとして機能し、攻撃者が管理するサーバー(”securestore[.]cv”)から16進数エンコードされたファイルを取得してディスクにELFバイナリとして保存し、同時にGoogle Drive上にホストされたおとりPDFをMozilla Firefoxで開きます。このGoベースのバイナリは、ハードコードされたコマンド&コントロール(C2)サーバーmodgovindia[.]space:4000と通信を確立し、コマンドの受信、ペイロードの取得、データの流出を行います。

マルウェアはまた、cronジョブを利用して永続化を確立し、システムの再起動やプロセス終了後にメインペイロードが自動的に実行されるようにします。

同様にこの活動を独自に報告したサイバーセキュリティ企業CloudSEKによると、マルウェアはシステム偵察を行い、エミュレータや静的解析ツールを欺くためにダミーのアンチデバッグおよびアンチサンドボックスチェックを実行できるよう設計されています。

さらに、Hunt.ioの分析によれば、これらの攻撃は、データ収集、長期的なアクセス、認証情報の窃取、さらには横展開の可能性を持つ既知のTransparent Tribe製バックドアPoseidonの展開を目的としていることが明らかになっています。

「APT36は、被害者のオペレーティング環境に合わせて配信手法をカスタマイズできる能力を持っており、それによって重要な政府インフラへの持続的なアクセスを維持し、従来型のセキュリティ対策を回避しつつ、成功率を高めています」とCYFIRMAは述べています。

この情報公開は、Transparent Tribeの攻撃者がインドの防衛関連組織や政府機関を、なりすましドメインを用いて標的とし、最終的に認証情報や二要素認証(2FA)コードの窃取を狙っていたことが観測された数週間後に行われました。ユーザーはスピアフィッシングメールを通じてこれらのURLにリダイレクトされると考えられています。

「最初のフィッシングページで有効なメールIDを入力し、『次へ』ボタンをクリックすると、被害者は2ページ目にリダイレクトされ、メールアカウントのパスワードとKavach認証コードの入力を求められます」とCYFIRMAは述べています

インド政府機関がアカウントのセキュリティ強化のために利用している2FAソリューション「Kavach」を標的とすることは、Transparent TribeおよびSideCopy2022年初頭から採用している実証済みの戦術であることにも注目すべきです。

「タイプミスを利用したドメインと、パキスタン拠点のサーバー上にホストされたインフラの組み合わせは、グループが確立してきた戦術・技法・手順(TTP)と一致しています」と同社は述べています。

また、これらの発見は、南アジアのAPTがバングラデシュ、ネパール、パキスタン、スリランカ、トルコを標的に、NetlifyやPages.dev上にホストされた偽装ページを使い、認証情報窃取を目的としたスピアフィッシングメールを用いた別のキャンペーンが発見されたことにも続いています。

「これらのキャンペーンは公式の連絡を装い、被害者を偽のログインページに誘導して認証情報を入力させようとします」とHunt.ioは今月初めに述べており、これをSideWinderというハッカーグループの仕業としています。

「偽装されたZimbraやセキュアポータルのページは、公式の政府メールやファイル共有、文書アップロードサービスのように見せかけられ、被害者に偽のログインパネルで認証情報を入力させるよう促していました。」

翻訳元: https://thehackernews.com/2025/08/transparent-tribe-targets-indian-govt.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です