Seqrite Labsのセキュリティ専門家は、Operation CamelCloneと命名されたサイバースパイ活動の一連の侵入を発見しました。このキャンペーンは同時に多くの国々を巻き込み、主権国家の機関、防衛企業、外交機関に焦点を当てています。法医学的な分析により、犯人らは文書のテーマや対象の地理的多様性にもかかわらず、同一の感染パターンと類似した誘引を用いていたことが明らかになりました。
この作戦の主要なターゲットには、政府機関、軍事施設、外交政策および国際協力機関、エネルギー部門の大企業が含まれていました。これらの攻撃はアルジェリア、モンゴル、ウクライナ、クウェート全域で記録されました。先端的な専門家の見解では、これらの選定国は現代の地政学的状況において極めて重要な位置を占めており、秘密諜報活動の理想的なターゲットとなっています。
このキャンペーンの初期の痕跡は2月下旬に発見されました。アルジェリアから流出した1つの成果物は、住宅都市開発省の公式文書を装っていました。このアーカイブには省の紋章が施された画像と、悪意のあるスクリプトを起動するよう設計されたショートカットが含まれていました。
間もなく、モンゴルの機関向けに綿密に作成された新しい誘引が出現しました。アーカイブは「中国との協力の拡大」という名称を持ち、ウラン採掘および原子力エネルギー開発と密接に結びついた国営企業MonAtomの紋章が施された画像を隠していました。
3月に、法医学の専門家は2つの追加サンプルを発見しました。1つのアーカイブはアルジェリアとウクライナ間の協力について言及していると言われ、もう1つはクウェート空軍向けの軍事兵器調達について言及していました。これらに含まれていた画像には主権国家機関の公式紋章が施されており、受信者の深い信頼を獲得するために意図的に設計されたものでした。
複雑な感染パターンはZIPアーカイブで始まり、画像とLNKショートカットアーティファクトの両方を含んでいました。このショートカットが実行されると、PowerShellコマンドが起動され、その後ドメインfilebulldogs.comから補足コンポーネントをダウンロードしました。その後、HOPPINGANTというJavaScriptローダーが注入されました。このスクリプトは難読化されたPowerShellコマンドを細密に実行し、追加のデジタル成果物を流出させました。
次の段階では、悪意あるアーキテクチャが実行可能なアーティファクトを含むアーカイブをダウンロードしました。その中に含まれていたのは完全に正当なRcloneユーティリティ、特にバージョン1.70.3です。デジタル泥棒はデータ流出の明確な目的のためにこの正統なツールを武器化しました。スクリプトはDOC、DOCX、PDF、TXTフォーマットを特に対象として、被害者のデスクトップから体系的に文書を収集しました。同時に、TelegramDesktopディレクトリからセッションテレメトリーを盗もうとしました。
盗まれたアーカイブはその後、MEGAクラウドリポジトリにシームレスに送信されました。このデータ転送を調整するために、犯人らは匿名メールonionmail.orgを通じて作成された新規登録アカウントを複数利用しました。このリポジトリへのアクセスはRcloneを通じて自動的に構成され、ローダーのソースコード内に綿密に隠されたパスワードの復号化に従いました。
Operation CamelCloneの特徴的な独特性は、独自のコマンド・アンド・コントロールインフラの代わりに、ユビキタスなパブリックサービスへの深い依存に存在します。悪意あるアーティファクトは匿名ファイル共有チャネルに隠され、流出したテレメトリーはMEGAクラウドにルーティングされました。このようなパラダイムはネットワークテレメトリー監視レベルでの悪意あるアクティビティの検出を著しく困難にします。
この現在の時点で、文書の作成者はこの作戦を特定の認識された組織に結びつけることを控えています。しかし、ターゲットのカスタム性、誘引の地政学的な主題的共鳴、および主権国家機関の意図的な選択は、俗流的な金銭的貪欲さではなく、秘密諜報活動の目的を明確に指しています。
