透明部族（Transparent Tribe）ハッカー集団、サイバー攻撃でインドのスタートアップ・エコシステムを標的に

悪名高い脅威グループ「Transparent Tribe」（APT36としても知られる）の戦術に、懸念すべき変化が見られます。これまで同グループは主にインド政府、国防、教育分野に焦点を当ててきましたが、現在は標的範囲を拡大し、成長するインドのスタートアップ・エコシステムを狙うようになりました。

この新たなキャンペーンでは、実在するスタートアップ創業者を題材にした巧妙な誘導（ルアー）を用い、被害者に「Crimson RAT」マルウェアを感染させます。

2013年から活動しており、パキスタン拠点の関係者と広く関連付けられているTransparent Tribeは、通常、軍事および外交上の標的に対する諜報活動に注力しています。

ハッカーは特に、OSINT（オープンソース・インテリジェンス）およびサイバーセキュリティに関与するスタートアップを狙っています。

しかし、TRUの最近の調査結果は、示しているように、同グループが現在、民間企業内のインテリジェンスを狩りに来ていることを示唆しています。

これらの企業はしばしば政府機関や法執行機関と協力しています。こうしたスタートアップを侵害することで、ハッカーは間接的に機微な政府データへアクセスすることを狙っている可能性があります。

これは典型的な「サプライチェーン」型のアプローチです。政府を直接ハッキングできないなら、政府が信頼する民間ベンダーをハッキングする、というものです。

Transparent Tribeの誘導（ルアー）

攻撃は、「MeetBisht.iso」という名称のISOファイル添付を含むスピアフィッシングメールから始まります。

メールを正当なものに見せかけるため、ハッカーは実在するインドのスタートアップ「Voldebug」とその創業者に言及するおとり資料を使用しました。

被害者がISOファイルを開くと、Excelのショートカットのように見えるもの（LNKファイル）が表示されます。しかし、このショートカットをクリックしてもスプレッドシートは開きません。代わりに、隠された一連のイベントが引き起こされます。

このキャンペーンで使用されているマルウェアは、リモートアクセス型トロイの木馬（RAT）です。Acronisが分析したバージョンには明確な特徴があります。ファイルサイズが人工的に膨らまされ、巨大な34MBになっているのです。

ハッカーは、処理時間を節約するために大きなファイルをスキップするよう設計されているセキュリティスキャナーが多いことを利用し、アンチウイルスを欺くためにファイルへ「ゴミデータ」を詰め込みました。

ひとたび稼働すると、 Crimson RAT は感染したマシンに対する完全な制御を攻撃者に与えます。その機能には次のものが含まれます。

このマルウェアは、カスタムの通信方式（TCPプロトコル）を用いてコマンド＆コントロール（C2）サーバーと通信するため、標準的なネットワーク監視ではトラフィックを検知しにくくなっています。

Acronisの研究者は、この攻撃の背後にTransparent Tribeがいることに非常に高い確信を持っています。米国にホストされた特定のサーバーインフラを含む残されたデジタル指紋や、過去の攻撃からのコード再利用が、同グループの履歴と一致しています。

悪意のあるLNKは、Meet Bishkt.xlsx.lnkという名前でアップロードされていたほか、Evidance.pdf.lnkとしてもアップロードされていました。

興味深いことに、研究者は「署名」とも言えるミスも発見しました。ハッカーはファイル名で「Evidence」という単語を繰り返し「Evidance」と誤綴していたのです。この綴り間違いは、インド政府を標的とした過去のキャンペーンでも見られました。

このキャンペーンは、インドのスタートアップがもはやレーダーの外にいるわけではないことを警告しています。政府業務や法執行機関に近い立場にあるため、これらの機動力の高い企業は、国家支援の諜報活動にとって高価値の標的となっています。

スタートアップ分野のサイバーセキュリティ責任者は、自分たちが今やデジタル最前線にいることを認識しなければなりません。