Transparent Tribeの新たな標的:インドのスタートアップ
悪名高い脅威グループ「Transparent Tribe」(APT36としても知られる)の戦術に、懸念すべき変化が見られます。歴史的にインド政府、防衛、教育機関を標的としてきた同グループは、その活動範囲をインドの成長著しいスタートアップエコシステムにまで拡大しています。この新たなキャンペーンでは、実際のスタートアップ創業者を装った巧妙な手口を用いて、「Crimson RAT」マルウェアを被害者に感染させています。
2013年から活動しており、パキスタンに拠点を置く攻撃者と広く関連付けられているTransparent Tribeは、通常、軍事および外交上の標的に対するスパイ活動に注力してきました。しかし、TRUの最近の調査によると、同グループは現在、民間企業内のインテリジェンスを探しています。これらの企業は、政府機関や法執行機関と協力していることが多く、スタートアップを侵害することで、攻撃者は間接的に機密性の高い政府データへのアクセスを狙っていると考えられます。これは、政府を直接ハッキングできない場合に、信頼されている民間ベンダーをハッキングするという古典的なサプライチェーン攻撃のアプローチです。
攻撃の背景と目的
攻撃者は特に、OSINT(オープンソースインテリジェンス)およびサイバーセキュリティに関わるスタートアップを標的にしています。これらの企業が政府機関との連携を深めていることから、Transparent Tribeは、政府の機密情報へのアクセス経路としてスタートアップを悪用しようとしていると分析されています。
詳細な攻撃手法
攻撃は、「MeetBisht.iso」という名前のISOファイルが添付されたスピアフィッシングメールから始まります。メールの正当性を装うため、攻撃者は実際のインドのスタートアップ「Voldebug」とその創業者に関するデコイ資料を使用しました。被害者がISOファイルを開くと、Excelショートカット(LNKファイル)のように見えるものが表示されます。しかし、このショートカットをクリックしてもスプレッドシートは開かず、代わりに一連の隠れたイベントがトリガーされます。
- 隠されたバッチスクリプトがバックグラウンドで実行される。
- ユーザーの注意をそらすためにデコイ文書がポップアップ表示される。
- 「Crimson RAT」マルウェアがコンピュータに密かにインストールされる。
「Crimson RAT」マルウェアの脅威
このキャンペーンで使用されたマルウェアは、Remote Access Trojan(RAT)です。Acronisが分析したバージョンには独特の機能があり、34MBという大容量に意図的に肥大化されています。攻撃者は、多くのセキュリティスキャナーが処理時間を節約するために大容量ファイルをスキップするように設計されていることを利用し、「ゴミデータ」をファイルに詰め込んでアンチウイルスシステムを欺きました。
Crimson RATが一度アクティブになると、攻撃者に感染マシンに対する完全な制御を付与します。その機能には以下が含まれます。
- 監視:画面録画、ウェブカメラの起動、マイクからの音声録音。
- 窃盗:すべてのドライブのリスト表示、特定のファイルの検索、盗んだデータの攻撃者へのアップロード。
- システム制御:実行中のプロセスの終了、新しいコマンドの実行。
このマルウェアは、カスタム通信方式(TCPプロトコル)を使用してコマンド&コントロールサーバーと通信するため、標準的なネットワークモニターではトラフィックを検知しにくくなっています。
攻撃者の特定と根拠
Acronisの研究者たちは、Transparent Tribeがこの攻撃の背後にいると非常に確信しています。米国でホストされている特定のサーバーインフラストラクチャや、以前の攻撃からのコードの再利用を含むデジタル指紋が、同グループの過去の履歴と一致しています。
興味深いことに、研究者たちは「Evidence」という単語をファイル名で繰り返し「Evidance」と誤って綴るという「署名」ミスも発見しました。このスペルミスは、以前のインド政府を標的としたキャンペーンでも確認されています。
インドのスタートアップ企業への警告
このキャンペーンは、インドのスタートアップがもはやレーダーの下を飛んでいないことへの警告となります。政府機関や法執行機関との近接性により、これらの機敏な企業は現在、国家支援型スパイ活動にとって高い価値のある標的となっています。スタートアップセクターのサイバーセキュリティリーダーは、自身が現在「デジタル最前線」にいることを認識しなければなりません。