世界中の重要インフラは、高度で国家支援の「スパイ活動エコシステム」からの脅威が増大している。
これら資金力のある組織は、不可欠なサービスを妨害し、情報を収集するために設計されたさまざまなツールを展開している。
一部は輸送拠点やサプライチェーンに対してサービス拒否(DDoS)攻撃を仕掛ける。一方で、別の組織は機微情報を収集し従来のセキュリティ対策を回避することで、地政学的優位を得ようとしている。
10年以上にわたり、インド政府および防衛関連組織は絶え間ないデジタル監視下で活動してきた。
このスパイ活動エコシステム、とりわけ Transparent Tribe(APT36) と、それに連携するSideCopyクラスターは、継続的に探りを入れ、手法を適応させてきた。
彼らの主要目的は変わらない。すなわち、秘匿性が高く強靭なアクセスを通じた長期的な情報収集である。
最近のキャンペーン活動
過去1か月にわたり、Aryaka Threat Research Labsは、WindowsおよびLinux環境にまたがってインドの防衛・政府組織を標的とする複数のアクティブなキャンペーンを観測した。
Windowsキャンペーン: 攻撃者は、LNKおよびHTAファイルを配布するフィッシングメールを使用し、.NETベースのリモートアクセストロイの木馬であるGETA RATを展開した。
感染チェーンは、mshta.exeのような正規のWindowsコンポーネントやXAMLのデシリアライズを悪用し、ファイルベースの検知を回避する。
多層的なスタートアップ機構により、妨害が発生してもアクセスを継続でき、長期の偵察に向けた強固な足場を形成する。
Linuxキャンペーン: 別の作戦では、Goベースのダウンローダーを用いてLinuxシステムを標的とし、PythonベースのリモートアクセスツールであるARES RATをインストールした。
展開後、ARES RATは自動化されたシステムプロファイリング、再帰的なファイル列挙、構造化されたデータの持ち出しを実行する。
永続化はsystemdのユーザーサービスによって実現され、通常の運用に紛れ込みながら再起動後もマルウェアが生き残る。これは、プラットフォーム間で同等の能力を維持する意図を示している。
新たな脅威: Desk RAT
研究者はまた、悪意のあるPowerPointアドイン(PPAM)ファイルを介して配布される、Goベースのリモートアクセストロイの木馬Desk RATを配信するキャンペーンも観測した。Desk RATはホストのテレメトリとリアルタイム監視を重視し、詳細なシステム診断情報を収集し、WebSocketベースのコマンド&コントロールを介して通信する。
この設計により、侵害されたホストに対する継続的な監視が可能となり、APT36の長期的な情報収集目的を強化している。
これらのキャンペーンは、Transparent TribeとSideCopyがスパイ活動の戦術を洗練させていることを示している。
クロスプラットフォームでのカバレッジ拡大、メモリ常駐型手法の活用、新たな配布ベクターの試行により、このエコシステムは戦略的焦点を維持しつつ、検知の閾値以下で活動している。
防御側にとって、これらは孤立した事案ではなく、成熟した脅威エコシステム内で連携して行われる取り組みである。
このようなアクターを検知し阻止するには、プラットフォーム横断の可視性、行動シグナルへの注意、そして攻撃者にとって最大の武器は速度ではなく永続性であるという理解が必要だ。
翻訳元: https://gbhackers.com/apt36-targets-linux/
