Operation CamelCloneと呼ばれる新しいサイバースパイ活動が、複数の地政学的に重要な地域にわたる政府および戦略的セクターをターゲットとしています。
このキャンペーンは、正規のツールと公開ファイル共有プラットフォームを悪用して、マルウェアを配信し、機密データを盗むことで、防御者による検出を難しくしています。
- 政府機関
- 防衛・軍事機関
- 外交および外交機関
- 政策および国際協力部門
- エネルギーおよび戦略的資源セクター
研究者はアルジェリア、モンゴル、ウクライナ、クウェートをターゲットとした活動を観察しました。これらの国は無関係に見えますが、現在の地政学的ダイナミクスにおいて各国が重要な役割を果たしています。
ウクライナはロシアとの継続的な紛争の中心にあり、主要なエネルギー輸出国としてのアルジェリアの役割は、ヨーロッパ、ロシア、中国の利益の交差点に位置付けられています。
Seqrite Labs APT チームは世界中の脅威を監視しており、最近複数の国をターゲットとしたキャンペーンを特定しました。
西側諸国と中国およびロシアの隣国との間でのモンゴルの外交的バランス調整は、それを魅力的なインテリジェンスターゲットにしています。
一方、クウェートはペルシャ湾地域における重要な防衛・セキュリティパートナーであり続けています。攻撃で使用されるルアーテーマはこれらの地政学的緊張を密接に反映しています。
スピアフィッシングルアー
このキャンペーンは、スピアフィッシングを介して配布された悪意あるZIPアーカイブから始まります。これらのアーカイブには、ショートカット(LNK)ファイルと正当に見えるように設計された偽のイメージが含まれています。
研究者は、アルジェリアから送信された وزارة_السكن_والعمران_والمدينة png.zipという名前のVirusTotalにアップロードされたファイルを発見した後、このキャンペーンを最初に特定しました。
アラビア語のファイル名は「住宅・都市開発・都市省」に翻訳され、攻撃者がアルジェリア政府機関になりすまそうとしたことを示唆しています。
さらに分析すると、異なる地域をターゲットとした追加のルアーが明らかになりました:
- モンゴル政府機関を狙った「中国との協力拡大.zip」
- 外交協力を参照する「アルジェリア・ウクライナ協力提案.zip」
- 防衛調達人員を狙った「クウェート空軍の兵器要件.zip」
各アーカイブには、アルジェリアの住宅省、モンゴルの国営原子力エネルギー企業MonAtom LLC、およびクウェート軍などの実在する組織の公式ロゴが特徴の偽のイメージが含まれていました。
攻撃チェーンは、被害者がZIPアーカイブ内の悪意あるLNKショートカットファイルを開くときに始まります。ショートカットは、匿名ファイル共有サイトfilebulldogs[.]comから追加ペイロードをダウンロードする隠されたPowerShellコマンドを実行します。
脅威アクターはまた、感染チェーンの後期段階の一部である遠隔C2サーバーから別のルアー文書をデプロイします。
ダウンロードされたペイロードは、研究者によってHOPPINGANTとして追跡されるJavaScriptローダーです。スクリプトはWindows Script Hostを使用して実行され、Base64エンコードされたPowerShellコマンドを実行して、追加のコンポーネントを取得し、システムをデータ盗難の準備をします。
次の段階では、ローダーは以下をダウンロードします:
- 被害者を気を散らすためにヌルバイトでパディングされた偽のPDFドキュメント
- l.exeという名前の実行可能ファイルを含むセカンダリアーカイブ
分析によると、l.exeはRclone(v1.70.3)の正規版であり、クラウドストレージサービスとのファイル同期を目的とした広く使用されるコマンドラインツールです。
RcloneおよびMEGA経由のデータ流出
実行されると、スクリプトはRcloneを設定して、マルウェア内に隠された認証情報を使用してMEGAクラウドストレージに接続します。シンプルなXORエンコードされたパスワードを使用します。
- coreyroberson@onionmail[.]org
- keatonwalls@onionmail[.]org
- oliwiagibbons@onionmail[.]org
- theresaunderwood@onionmail[.]org
マルウェアは被害者のシステムから文書を収集し、.doc、.docx、.pdf、.txtファイルなどのデスクトップディレクトリに配置されたファイルに焦点を当てます。
また、Telegram Desktopセッションデータを盗もうとします。これは攻撃者がプライベート通信にアクセスすることを可能にする可能性があります。
収集されたすべてのファイルは、すべての観察されたサンプル全体で同一の構成設定を使用してRcloneを使用してMEGAにアップロードされます。
従来のコマンド&コントロールサーバーをデプロイする代わりに、脅威アクターは公開サービスに依存しています。
filebulldogs[.]comプラットフォームは、マルウェアローダー、ペイロードアーカイブ、および偽ファイルをホストしています。各キャンペーンインスタンスに対して異なるアップロードパスが使用され、攻撃者が複数の操作を同時に実行し、中断のリスクを軽減することができます。
研究者はOperation CamelCloneを既知の脅威グループに帰属させていません。しかし、政府、防衛、外交、エネルギー機関への焦点は、財政的利益ではなくサイバースパイの目的を示唆しています。
Seqrite Labsは活動を監視し続け、このキャンペーンは、世界的な地政学的ライバルをナビゲートしている国々の外交政策立場、防衛能力、および外交的配置を理解することを目的とした情報収集の取り組みを反映していると考えています。
IOCs
| SHA-256ハッシュ | ファイル名 |
|---|---|
| 31f1a97c72f596162f0946df74838d3bef89289ce630adba8791c0f3220980ee | وزارة_السكن_والعمران_والمدينة.png.zip |
| 51af876b0f7fde362c69219f7dec39f7fb667fb53dc5fe2cbdf841d6c5951460 | Weapons requirements for the Kuwait Air Force.zip |
| 27d7a398a58c12093bc49f7144dac2f079232768096d0558c226ea5c53782e29 | Algerian Ukrainian proposals for cooperation.zip |
| 4a0e2649f89e11121ffe55546ee081ac07472db650d094314414ebf26fcb7a8e | Хятад улстай хамтын ажиллагаагаа өргөжүүлж байна.zip |
| 92962bfa6df48ec0f13713c437af021f4138dc5a419bc92bc8a376d625a6519a | دعوة للمشاركة.lnk |
| 1d0ea66d347325902e20a12e1f2f084be45d3d6045264e513dcc420b9928013c | Weapons requirements for the Kuwait Air Force.lnk |
| 2671e1f43b2e5911310c5b3f124c076055eec5dee4e596854332ffcf791fd740 | Algerian Ukrainian proposals for cooperation.lnk |
| 2902cdee050a60c3129b4bb84e74ddda7b129c3473556f689d83609d9a5981a7 | Хятад улстай хамтын ажиллагаагаа өргөжүүлж байна.lnk |
| 630ac67d8db777ae0b93e066bd13b21908e79f23a41a64448f0a4ea38c063a44 | f.js |
| 230a22a1f1800f11718b43a7ce9390d2ef0fa9dc212d954c8fafbfbe997bbbef | f.js |
| 62c477c0827752ffeb8ea243497eef1c666fc41025d287909d021bceb5b8e699 | f.js |
| 2dcaaedfad798dad87f27aef39885d2879825c4c8bed1dcd9e863aba0d463103 | f.js |
| 3e36b396c4cb71b8eaae2300c21bec26700b27ce5f6be83ef6b86d214e294c8b | l.exe |
翻訳元: https://gbhackers.com/file-sharing-sites/
