概要

インドの国防セクターおよび政府関連機関を標的とする複数のサイバー攻撃キャンペーンが発生しています。これらのキャンペーンは、WindowsとLinux環境に対してリモートアクセストロイansom（RAT）を使用し、機密データの窃取や継続的なアクセス確保を目指しています。

脅威グループ

AryakaのセキュリティエンジニアリングおよびAI戦略担当副社長であるAditya K. Sood氏は、これらのキャンペーンが「Transparent Tribe」と「SideCopy」によって展開されていると述べています。SideCopyは2019年から活動しており、Transparent Tribeの一部門として機能していると考えられています。

攻撃手法

これらの攻撃では、フィッシングメールを用いてマルウェアを配布することが一般的です。メールには悪意のある添付ファイルやダウンロードリンクが含まれており、これらは標的のシステムに侵入するための入り口となります。

主なマルウェアファミリー

• Geta RAT: システム情報収集、プロセス列挙、プロセス終了、インストール済みアプリの一覧取得、資格情報を収集、クリップボードの内容を交換、スクリーンショットのキャプチャ、ファイル操作、任意のシェルコマンド実行、USBデバイスからのデータ収集など。
• Ares RAT: 同様に、幅広いコマンドを使用して機密データを収集し、脅威アクターが発行したPythonスクリプトやコマンドを実行します。
• DeskRAT: PowerPoint Add-Inファイルを通じて配布され、外部サーバーからダウンロードされたシェルスクリプトを使用してPythonベースのAres RATを展開します。

攻撃チェーンの一例

攻撃チェーンでは、悪意のあるLNKファイルが「mshta.exe」を呼び出し、HTML Application (HTA) ファイルを実行します。このHTAペイロードはJavaScriptを使用して暗号化されたDLLペイロードをデコードし、データブロブを処理して偽のPDFファイルを作成します。

影響と対策

Aryakaは、「これらのキャンペーンがインドの国防、政府、戦略セクターに焦点を当てた脅威アクターによって展開されていることを示しています。」と述べています。「攻撃者は、防衛に関連する誘因文書や地域で信頼されるインフラストラクチャを利用して標的を選定します。

まとめ

Aryakaは、これらの脅威アクターが「Geta RAT」、「Ares RAT」および「DeskRAT」といったツールキットを用いて、ステルス性と持続性に優れた長期的なアクセスを確保していると指摘しています。

---

元記事: https://thehackernews.com/2026/02/apt36-and-sidecopy-launch-cross.html