世界中の重要インフラは、国家支援を受けた「スパイエコシステム」からの脅威にさらされています。これらの潤沢な資金を持つグループは、輸送ハブ、通信ネットワーク、サプライチェーンに対してサービス妨害(DDoS)攻撃を仕掛けています。
他のグループは、地政学的、軍事的、経済的な機密情報を盗み、標準的な防御をすり抜けています。安全なセクターやシステムは存在しません。
代表的な例がTransparent Tribe(APT36)で、10年以上にわたってインド政府と防衛機関を標的にしてきました。
SideCopyクラスターと連携するこの持続的なネットワークは、スピアフィッシング、武器化された文書、リモートアクセス型トロイの木馬(RAT)を使用して、密かに長期的なスパイ活動を行っています。
彼らのツールには現在、クロスプラットフォームペイロード、メモリのみでの実行、そして迅速な攻撃ではなく持続性を目的として構築された隠れたコマンドチャネルが含まれています。
Aryaka Threat Research Labsは先月、インドの防衛および政府ネットワークに対する新たな攻撃を発見しました。WindowsとLinuxの両システムが攻撃を受けており、APT36が全プラットフォームカバレッジを推進していることを示しています。
Windowsでは、フィッシングメールがLNKファイルとHTAファイルを投下し、SideCopyに関連する.NET RATであるGETA RATを解き放ちました。
mshta.exeなどの正規ツールを悪用してXAML逆シリアル化とメモリ内実行を行い、ファイルスキャナーを回避します。持続性のために、クリーンアップを乗り越えるための起動トリックを重ねています。このセットアップは、静かな偵察とデータ窃取に優れています。
Linuxも同様に注目を集め、Goベースのダウンローダーが、APT36の手口であるPythonツールARES RATを取得しました。ARESはシステムをスキャンし、ファイルを再帰的にリストアップし、データを巧妙に流出させます。
systemdユーザーサービスを介して隠れ、再起動後も通常のタスクのように再開します。これは、Linuxが優先事項であり、脇役ではないことを示しています。
新しいプレーヤー、Desk RATも登場しました。悪意のあるPowerPointアドイン(PPAMファイル)を介して配信されるこのGoベースのRATは、リアルタイムスパイ活動に焦点を当てています。
システムテレメトリを取得し、ハートビートを送信し、構造化されたメッセージでWebSocket C2チャネル経由でやり取りします。オペレーターは継続的なホスト情報を取得し、APT36の監視活動を促進します。
これらのツールは回復力のあるキットを形成しています。Windowsでの環境寄生型回避、Linuxでのネイティブサービスによる持続性、そしてDesk RATの監視における優位性です。
APT36とSideCopyは派手な革新者ではありません。古い手法を洗練させています。クロスプラットフォームのリーチ、メモリトリック、新しいベクターにより、レーダーの下に留まっています。インドにとって、これは主要セクターに対する絶え間ないデジタル圧力を意味します。
防御側は、プラットフォーム全体の可視性、行動ベースのアラート、再起動に耐える防御が必要です。ここでは持続性がスピードに勝ります。攻撃者は何年も深く潜伏します。
このエコシステムは適応によって繁栄しています。セキュリティチームは、フィッシング対応訓練を実施し、ネットワークをセグメント化し、IOC(ARESハッシュやDesk RAT WebSocketsなど)を共有する必要があります。グローバルなインテリジェンス共有ハブは、これらの影を追跡するのに役立ちます。
要するに、APT36のLinux進出は、より広範なリスクを示しています。重要な業務は、スパイ活動をマラソン的脅威として扱い、警戒を続け、防御を進化させ、早期に妨害する必要があります。
翻訳元: https://cyberpress.org/apt36-hits-linux-services/