はじめに
世界中の重要なインフラは、国家支援を受けた高度な「スパイ活動エコシステム」からの脅威に直面しています。これらの潤沢な資金を持つ組織は、基幹サービスの妨害や情報収集を目的とした様々なツールを展開しています。一部は輸送ハブやサプライチェーンに対しDDoS攻撃を仕掛け、また別の組織は機密情報を収集し、従来のセキュリティ対策を回避することで地政学的な優位性を追求しています。
APT36の活動背景
10年以上にわたり、インド政府および国防組織は継続的なデジタル監視下に置かれてきました。このスパイ活動エコシステムにおいて、特に「Transparent Tribe (APT36)」および関連する「SideCopy」クラスターは、常にその手法を試行錯誤し適応させています。彼らの主要な目的は変わらず、ステルス性と回復力のあるアクセスを通じて長期的な情報収集を行うことです。
最近のキャンペーン活動
過去1ヶ月間、Aryaka脅威リサーチラボは、インドの国防および政府機関を標的とした複数の活発なキャンペーンを、WindowsおよびLinux環境の両方で観測しました。
Windowsキャンペーンの詳細
- 攻撃者はフィッシングメールを利用し、LNKファイルやHTAファイルを介して.NETベースのリモートアクセス型トロイの木馬「GETA RAT」を展開しました。
- 感染経路は、mshta.exeやXAMLデシリアライゼーションといった正規のWindowsコンポーネントを悪用し、ファイルベースの検出を回避します。
- 多層的な起動メカニズムにより、妨害されてもアクセスを継続させ、長期的な偵察のための永続的な足がかりを確立します。
Linuxキャンペーンの詳細
- Go言語ベースのダウンローダーを用いて、Pythonベースのリモートアクセスツール「ARES RAT」をインストールする、Linuxシステムに特化した作戦が展開されました。
- ARES RATは展開後、自動化されたシステムプロファイリング、再帰的なファイル列挙、構造化されたデータ抜き取りを実行します。
- systemdユーザーサービスを通じて永続性を確立し、マルウェアが再起動後も存続しつつ通常の操作に溶け込むことを可能にしています。これは、両プラットフォームで同等の能力を維持しようとする意図を示しています。
新たな脅威:Desk RAT
さらに、「Desk RAT」と呼ばれる新たな脅威も確認されています。これはGo言語ベースのリモートアクセス型トロイの木馬で、悪意のあるPowerPointアドイン (PPAM) ファイルを介して配布されます。Desk RATは、ホストのテレメトリーとリアルタイム監視に重点を置き、詳細なシステム診断情報を収集し、WebSocketベースのC2 (コマンド&コントロール) と通信します。この設計により、侵害されたホストに対する継続的な監視が可能となり、APT36の長期的な情報収集目標を強化しています。
結論と防御策
これらのキャンペーンは、Transparent TribeとSideCopyがいかにスパイ活動の戦術を洗練させているかを明らかにしています。クロスプラットフォーム対応の拡大、メモリ常駐型技術の使用、新たな配信ベクターの試行を通じて、このエコシステムは検出閾値以下で活動しつつ、戦略的な焦点を維持しています。防御側にとって、これらは成熟した脅威エコシステム内での協調的な取り組みであり、孤立したインシデントではありません。このようなアクターを検出・阻止するには、プラットフォーム横断的な可視性、挙動シグナルへの注意、そして「速度ではなく永続性こそが攻撃者の最大の武器である」という理解が必要です。