Seqrite Labsのセキュリティ研究者は、Operation CamelCloneと名付けられた洗練されたスパイ活動キャンペーンを発見しました。これは世界中の重要な政府機関および防衛機関を標的としています。
この新たに特定された活動は、特にアルジェリア、モンゴル、ウクライナ、クウェートなど、地政学的に重要な国々に焦点を当てています。
ソーシャルエンジニアリングで作成されたデコイドキュメントを利用することで、脅威行為者は軍事組織、外交機関、エネルギー部門から機密情報を盗むことを目的としています。
セキュリティソフトウェアがすぐに検出する可能性のあるカスタムの複雑なマルウェアを展開する代わりに、攻撃者は正規の公開ホスティングサービスと管理ツールに大きく依存して、検出されずにグローバルサイバースパイ活動ミッションを遂行しています。
Operation CamelCloneの攻撃シーケンスは、悪意のあるZIPアーカイブを含む慎重に作成されたスピアフィッシングメールから始まります。被害者の信頼を得るために、これらのアーカイブは公式の政府紋章に偽装されたショートカット(LNK)ファイルを含んでいます。
例えば、研究者はアルジェリア住宅省を標的としたアラビア語で書かれた囮、モンゴルの国営原子力企業MonAtom LLCになりすましたもの、クウェート武装勢力の武器調達ドキュメントに偽装した3番目のものを発見しました。
Operation CamelCloneの最も注目すべき側面の1つは、従来のコマンド・アンド・コントロールサーバーが完全に存在しないことです。
高度な持続的脅威グループは通常、マルウェアを管理するためのプライベートサーバーインフラストラクチャを構築します。ただし、この行為者は攻撃のあらゆる段階で公開アクセス可能なプラットフォームを使用しています。
収集されたドキュメントを盗むために、HOPPINGANTローダーは隠されたパスワードを再構築し、人気のある公開可能なクラウドストレージサービスであるMEGAにログインします。
脅威行為者は、身元確認を必要としないメールサービスであるOnionMailを使用して、複数の匿名MEGAアカウントを作成しました。
すべての盗まれたデータを直接Rclone経由でMEGAにルーティングすることで、悪意のあるネットワークトラフィックは日常のインターネットトラフィックと完璧に調和します。この技術は、エンタープライズセキュリティチームにとってネットワークベースの検出を大幅に難しくしています。
現在のところ、研究者はOperation CamelCloneを特定の既知の脅威グループに帰属させていません。
しかし、同じ暗号化キーの一貫した再利用、同様のRclone構成、および共有ステージングサーバーは、これらのグローバル攻撃がすべてSeqriteの単一の調整されたキャンペーンの一部であることを証明しています。
対象に防衛機関と外交部門が含まれているため、これは経済的動機のあるサイバー犯罪ではなく、国家が後援する諜報収集活動である可能性が高いです。
これらの重要セクターの組織は、この脅威に対抗するために、異常なLNKファイルの実行と、公開クラウドストレージサービスへの予期しない高いデータ転送を監視することをお勧めします。
翻訳元: https://cyberpress.org/camelclone-hits-governments/