出典:Brian Jackson(Alamy Stock Photo経由)
南アジアで長年活動している脅威グループが、情報窃取ツールの展開から、より高度なPython バックドアを、パキスタンのMicrosoft Windowsベースの標的に対して使用するサイバースパイ戦術へとシフトしました。この動きは同グループの能力が大幅に強化されたことを示しており、国家支援の脅威アクターが進化する目的に対応し、検知を回避するために洗練度を高め続けていることを研究者らは警告しています。
FortiGuard Labsの研究者は、2013年から活動しており、地域のインド支援のサイバー作戦に関連付けられている「孔子」グループがこの戦術を変化させたことを、本日発表したレポートで明らかにしました。
「過去10年間、孔子は政府機関、軍事組織、防衛請負業者、重要インフラ産業、特にパキスタンを繰り返し標的にしてきました。最初の侵入経路としてスピアフィッシングや悪意ある文書を利用しています」と、Fortinetのアンチウイルス分析マネージャーであるCara Lin氏は投稿で述べています。実際、2021年には同グループがパキスタン軍を標的に、Pegasusスパイウェアの誘導を行っていたことが確認されています。
しかし最近では、同グループは最終ペイロードとしてWooperStealerなどの情報窃取ツールの展開から離れ、Pythonベースのバックドア「AnonDoor」を使った長期的な監視と持続性へのシフトを目指しています。また、初期侵入経路や検知回避技術も多様なファイルタイプの採用や、OLEオブジェクト、悪意あるスクリプト、LNKファイル、PowerShellローダー、MSILダウンローダー、難読化されたペイロードの連鎖によって活動を隠蔽するなど、変化させています。
「この進化は、孔子の適応力と、同地域における国家支援型マルウェアキャンペーンの高度化を浮き彫りにしている」とともに、「技術、インフラ、マルウェアファミリー間で迅速に手法を切り替え、作戦効果を維持する能力」を示しているとLin氏は記しています。
インドAPTのサイバー戦術とマルウェアの進化
FortiGuard Labsの研究者は、昨年12月から今年8月にかけてパキスタンの被害者を標的とした複数のフィッシングキャンペーンを通じて、孔子の進化を追跡しました。3つの異なるキャンペーンの中で、同グループは様々な難読化戦術を使ってWooperStealerを感染システムに展開するところから、8月にはPythonベースの情報窃取ツール「AnonDoor」を展開するまでに至りました。
同グループは、この期間中に最終的なマルウェアペイロードの難読化および展開方法も変更しました。12月に観測されたフィッシングキャンペーンは、「権威のなりすまし、最小限の文脈、行動を促すリクエストに依存し、受信者に添付ファイルを開かせて感染チェーンを開始させるものでした」とLin氏は述べています。
そのチェーンが作動すると、攻撃者は悪意あるDLLファイルとDLLサイドローディングを利用して最終的にペイロードを実行していました。しかし、2025年3月には、孔子の別のキャンペーンが再びWooperStealerでパキスタンの被害者を標的にした際、同グループのマルウェア展開はDLLファイルの使用にとどまらず、悪意あるLNKファイルもキャンペーンに利用するようになりました。
8月のキャンペーンでは、難読化戦術だけでなく最終ペイロードの配信メカニズムにもさらなる進化が見られました。孔子は再び悪意あるLNKファイルを使ってパキスタンの被害者にマルウェアを配信しましたが、今回はPythonベースのAnonDoorバックドアが一時的なPowerShellスクリプトを介して埋め込まれていました。
また注目すべき点として、8月の攻撃で展開されたバックドアのバージョンは、「MSILベースのAnonDoorバージョンと非常に似た構造を持っている」と研究者は指摘しています。このマルウェアは、収集したシステム情報を「uhhg」というパラメータにまとめ、フィールド間の区切りとして「$!!$」を使用します。「生成されたデータはコマンド&コントロール(C2)サーバーに送信され、アクセスおよび取得はパキスタンなど特定の地理的標的に制限されているようです」とLin氏は述べています。
Python利用による“這うような”優位性
孔子の最新の動きは、脅威グループが常に手法を適応させてセキュリティ研究コミュニティの先を行こうとする進化的性質を示していると、セキュリティ企業Bambenek Consultingの社長John Bambenek氏は指摘します。戦術を変え、活動を隠すさまざまな方法を使うことで、攻撃者は防御側より一歩先を行こうとしていると彼は述べています。
特に、孔子がPythonベースのツールやマルウェアを使用していることについて、Bambenek氏は「スクリプト言語内での悪意ある活動の検知が常に困難であることを突いており、難読化技術が無数に存在する」と述べています。さらに、Pythonはあらゆる場所で日常的に使われているため、攻撃者は「新たなツールやバイナリをインストールすることなく、その機能を自由に活用できる」という利点があるとも述べています。
孔子の方向転換は、防御側にも柔軟性と進化が求められることを意味しており、FortiGuard Labsはキャンペーンの侵害指標(IoC)リストを公開し、アンチウイルス(AV)やその他のセキュリティソリューションで潜在的な侵害を検知できるようにしています。「脅威アクターが防御を回避する手法を絶えず洗練させているため、さまざまな攻撃手法への警戒を維持することが重要です」とLin氏は述べています。
翻訳元: https://www.darkreading.com/threat-intelligence/south-asian-cyberspy-evolves-stealers-backdoors
