インド系のスパイ集団 SloppyLemming(別名 Outrider Tiger および Fishing Elephant)は、パキスタンとバングラデシュの高価値ターゲットに対して、新しい BurrowShell バックドアと Rust ベースのリモートアクセスツール(RAT)を使用した 1 年間のサイバーキャンペーンを実施しています。
この活動は 2024 年に Cloudflare の CloudForce One によって暴露された以前の作戦に直接基づいており、ツーリングとインフラストラクチャスケールの両方において明らかな拡張を示しています。
Arctic Wolf は、一貫した南アジアの被害者プロファイル、Cloudflare Workers インフラストラクチャの再利用、なじみのあるドメインタイポスクワッティングパターン、および Havoc のようなフレームワークとカスタムマルウェアへの継続的な依存を引用して、このキャンペーンを中程度の信頼度で SloppyLemming にリンクしています。
Arctic Wolf はパキスタンとバングラデシュの政府機関および重要インフラ事業者を標的とする SloppyLemming を観察しており、防衛、通信、エネルギー、金融、および原子力規制機関を含みます。
デュアル攻撃チェーン
SloppyLemming は現在、マルウェアを展開するために 2 つの主要なスピアフィッシングチェーンを使用しています。プライマリチェーンは、被害者をClickOnce アプリケーションマニフェストに押しやる PDF ルアーを送信し、その後、NGenTask.exe などの正当な Microsoft バイナリを悪用して DLL サイドローディングバンドルを配信し、悪意のある mscorsvc.dll ローダーと暗号化されたシェルコードブロブをロードします。
復号化されると、そのシェルコードは BurrowShell を実行します。これは、ファイル操作、スクリーンショットキャプチャ、リモートコマンド実行、およびSOCKS プロキシトンネリングをサポートするメモリ内バックドアで、コマンドアンドコントロール トラフィックを HTTPS 経由の Windows Update として偽装します。
セカンダリチェーンは、マクロ有効 Excel ファイルに依存して、sppc.dll をサイドロードする名前変更された Microsoft バイナリをダウンロードおよび実行します。これは Rust ベースのキーロガーと RAT です。
この Rust インプラントはキーストロークをログに記録し、コマンドを実行し、ファイル操作を実行し、ポートスキャンとネットワーク偵察を実施し、スクリーンショットをキャプチャします。これは、SloppyLemming が従来のコンパイルされたマルウェアとすぐに使えるCobalt Strike などのフレームワークや Havoc への依存から転換を示すマークです。
インフラストラクチャ分析によると、SloppyLemming は Cloudflare Workers の使用を大幅に拡大し、2025 年 1 月から 2026 年 1 月の間に 112 個の workers.dev サブドメインを登録しており、2024 年に Cloudflare によって以前に文書化された 13 個のドメインと比較されます。
これらのドメインはパキスタンとバングラデシュの政府および重要インフラ企業を密接にまねており、ペイロード配信と C2 トラフィックの両方に使用されます。
この高度なセットアップにもかかわらず、複数の Workers インスタンスはオープンディレクトリとして残され、BurrowShell コンポーネントや異なる RC4 キーで保護された Havoc ローダーを含む段階的なマルウェアを意図せず公開しました。
このオペレーショナルセキュリティの脆弱性により、研究者は追加のツーリングを回復し、SloppyLemming が新しいカスタムインプラントと並行して Havoc フレームワークへの継続的な依存を確認できました。
影響、属性、および防御
パキスタンの原子力規制、防衛ロジスティクス、および通信、ならびにバングラデシュの電力および金融機関を標的とするキャンペーンは、南アジアの戦略的インテリジェンス収集の優先順位と一致し、SloppyLemming がインド関連の利益を支援するために動作しているという評価を強化します。
インプラントは、コード内で「OneCollector」と呼ばれる内部イベントメッセージングメカニズムを含み、正当な Microsoft テレメトリエンドポイントをまねるように設計されている可能性があります。
追加の保護には、既知の悪意のある workers.dev ホスト名をブロックし、Windows Update またはカスタム Rust ツーリングのユーザーエージェントをまねるアウトバウンド HTTPS トラフィックを検査し、BurrowShell および Rust キーロガーインプラント用に特別に調整されたYARA ルールなどの検出コンテンツをデプロイすることが含まれます。
Arctic Wolf は、スピアフィッシング、DLL 検索順序のハイジャック、暗号化された Web C2、キーロギング、および SOCKS トンネルを使用した内部プロキシを含む、MITRE ATT&CK 手法の幅広いスパンにわたってアクティビティをマップします。
この脅威に対抗するために、防御者はマクロを厳密に制御し、workers.dev ドメインを指す PDF と埋め込み URL を精査し、疑わしい ClickOnce デプロイメントを監視し、非標準パスで NGenTask.exe または phoneactivate.exe を含む DLL サイドローディングを検出することをお勧めします。
翻訳元: https://gbhackers.com/sloppylemming-espionage-campaign/
