TokyoBlackHatNews

securityweek.com 4分で読了

マシンの中のRAT:パキスタン関連の三方向サイバー攻撃がインドを襲う内幕

新たに公開された脅威レポートによると、インドの政府機関および防衛関連組織が、パキスタンに帰属するとされるTransparent Tribe(別名APT36)によって複数のスパイ活動キャンペーンの標的にされている。

これらのキャンペーンはWindowsとLinuxの両方を標的としている。進行中のキャンペーンの一つはGETA RAT(Transparent TribeのSideCopyサブグループに特に帰属されることが多い)を用いる。これはdot-NET製のRATで、正規のWindowsコンポーネント(mshta.exe、XAMLのデシリアライズ、メモリ内でのペイロード実行などを含む)を悪用し、シグネチャベースの検知を回避する。

永続化は、継続的なアクセスを確保する多層的なスタートアップ機構によって実現される。「その結果」と、AryakaのセキュリティエンジニアリングおよびAI戦略担当VPであるAditya Soodは、レポートに付随するブログで書いている。「軽量だが耐久性のある足場が得られ、長期にわたる偵察と情報収集に適している。」

別のキャンペーンは、ARES RATとシステムレベルの永続化によってLinux環境を標的にする。Transparent Tribeと長らく関連付けられてきたPythonベースのツールであるARESは、Goベースのダウンローダーを使用する。展開されると、システムのプロファイリング、再帰的なファイル列挙、構造化データの持ち出しを実行する。

「永続化はsystemdのユーザーサービスを通じて達成され、マルウェアは再起動後も生き残りつつ、通常のシステム運用に紛れ込むことができた」とSoodは書いている。

Aryakaはまた、より新しく台頭しつつあるツールであるDesk RATを使用するTransparent Tribeのキャンペーンも検知している。これはGoベースで、悪意のあるPowerPointアドインを介して配布される。詳細なシステム診断情報を収集し、WebSocketベースのコマンド&コントロールを用いてオペレーターと通信する。「この設計により、侵害されたホストの状況認識を継続的に得られ、APT36の長期監視目標を強化する」とSoodは書いている。

(以前のGoベースのマルウェアには、BlackCat/ALPHVランサムウェアや、Vampire Botの求職者詐欺が含まれる。)

Aryakaは、これら3つのマルウェアと感染手法について、別のレポートで詳細に検証している。重要な要素は永続化とステルス性だ。「観測されたキャンペーンにおける初期侵入は、武器化された添付ファイル、または悪意のあるLNKファイル、ELFバイナリ、HTAスクリプト、PowerPointアドインへと誘導する埋め込みダウンロードリンクを配信するフィッシングメールに依存している」と分析レポートは指摘している。

「実行およびローダーの活動は、mshta.exe、PowerShell、スクリプトエンジンといったLOLBins(正規ツールの悪用)を悪用して、ペイロードをメモリ内で取得・実行する」と続けている。「コマンド&コントロールについては、観測されたマルウェアファミリー—GETA RAT、ARES RAT、Desk RAT—が、暗号化されたTCPまたはWebSocketベースの通信を、定期的なハートビートパターンとともに用いて永続性を維持している。」

しかしSoodは、この種の国家支援型攻撃は、世界的に国家による諜報攻撃が増加していることを示すものだと強調したいという。もはや敵対国が、潜在的な実力行使の戦争に備えて、あるいはその前段として重要産業に事前配置しているというだけではなく、拡大する世界的な貿易・関税戦争を背景とした経済インテリジェンス収集なのだ。 

「ときには」とSoodは説明する。「予期せぬ貿易協定が国家間で成立し、輸入や輸出に何十億、何百億ドルもの金額が関わることがある。貿易を通じて国家経済にとって大きな利益が生まれ得る。例えばインドは今年、防衛予算を4%増やしており、その資金を何に使うつもりなのかを知りたがる国は多い。」

Persistence Tribeのキャンペーンに関するAryakaの分析には、2つの目的がある。第一に、この新たな世界的貿易戦争で用いられるツールの種類について深い分析的洞察を提供すること。第二に、政治的に敵対する国家がもはや主要な「敵」ではないことを浮き彫りにすることだ。友好国は、貿易・関税戦争における経済的優位を得ることだけを目的に(それ以上でもそれ以下でもなく)、他の友好国や、その潜在的な競合企業をますます標的にするようになるだろう。

継続する地政学的緊張によって引き起こされる国家による攻撃と、Persistence Tribeのようなエリート集団による経済攻撃の増加が組み合わさることで、今後さらに国家による攻撃が増えると予想される。そして、永続化とステルス性に焦点を当てたGETA、ARES、DESK RATの分析は、将来サイバーセキュリティ実務者が直面する困難を浮き彫りにしている。

翻訳元: https://www.securityweek.com/rats-in-the-machine-inside-a-pakistan-linked-three-pronged-cyber-assault-on-india/

ソース: securityweek.com
#APT36 #ARES RAT #Desk RAT #GETA RAT #RAT(リモートアクセス型トロイの木馬) #Transparent Tribe #インド政府・防衛機関 #サイバー諜報 #パキスタン関連攻撃 #フィッシング攻撃

関連記事

トランプ大統領、最先端AIモデルの国家安全保障リスク審査を求める大統領令に署名

サイバーセキュリティの深刻化する危機に関する2つの新レポート、異なる見解を提示

スクープ:たった1行のコードが、Microsoft Androidアプリ数十億ダウンロードをリスクにさらした経緯