概要:巧妙なフィッシングキャンペーン
パキスタンを拠点とする高度な持続的脅威グループAPT36(別名TransparentTribe)が、インド政府機関を標的とした巧妙なスピアフィッシングキャンペーンを活発に展開しています。このキャンペーンは、「NIC eメールサービス」を装ったメールを悪用し、資格情報を窃取して長期的なスパイ活動を可能にすることを目的としています。
攻撃の詳細:偽装されたNIC eメールサービス
攻撃は、インド政府のデジタル基盤であるNational Informatics Centre(NIC)からの公式通知を巧妙に模倣したメールメッセージから始まります。被害者は、「NICeMail Services」とブランド化された偽のログインポータルに誘導され、メールアドレスやパスワードなどの機密情報を入力させられます。この偽のログインページは、正規のNICウェブメールインターフェースと酷似しており、キャンペーンの信憑性と成功の可能性を高めています。
悪用されたインフラストラクチャ
この作戦を支える悪意のあるインフラストラクチャは、最近のAPT36の活動に関連する複数のドメインとサーバーで構成されています。
- accounts.mgovcloud[.]in.departmentofdefence[.]live:NICの正規ウェブポータルの外観を偽装し、偽のログインフォームでユーザーの資格情報を収集するフィッシングページをホストしています。
- departmentofdefence[.]live:親ドメインとして機能し、政府機関との関連を示唆することで信頼性を高めています。
- 81.180.93[.]5:「Stealth Server」コマンド&コントロール(C2)インターフェースにリンクされており、ポート8080経由でアクセス可能です。このパネルは、感染したシステムから流出したデータを受信し、侵害後に展開されたマルウェアインプラントを制御するために使用されます。
- 45.141.59[.]168:キャンペーンに関与する別のIPアドレスで、マルウェアのペイロードをホストしたり、C2通信を促進したりする可能性があります。
フィッシングドメインには有効なTLS証明書が確認されており、ブラウザの警告を回避し、標的ユーザーの目には正当性を強化するための追加の運用セキュリティ層が示されています。
APT36(TransparentTribe)の脅威
APT36、またはTransparentTribeは、パキスタンに起因するとされる悪名高い脅威グループであり、インドの防衛、外交、政府機関に長年にわたる関心を持っています。このグループの常套手段は、データ窃盗とスパイ活動を促進するためのスピアフィッシングとカスタマイズされたマルウェアの配信です。APT36は、非常に現実的なフィッシングページ、オープンソースの攻撃フレームワークの使用、現在の地政学的イベントの悪用など、常に進化する戦術を採用し、被害者の関与の可能性を高めています。今回のキャンペーンは、日常的なNICサービス通知を装うことで、脅威グループが信頼を悪用し、基本的なセキュリティ制御を回避する能力を示しています。
推奨される対策
セキュリティ専門家は、インド政府のユーザーおよび関連組織に対し、特に予期せぬまたは非公式なログインポータルで資格情報の入力を求められた場合には、警戒を強化するよう助言しています。上記に挙げられたドメインやIPアドレスなどの侵害指標は、ネットワークレベルでブロックされるべきであり、ユーザーはスピアフィッシングの兆候について教育される必要があります。IT部門は、多要素認証を展開し、資格情報の悪用や異常なログインを継続的に監視するよう強く求められています。これらの対策は、APT36の主要な攻撃ベクトルを阻止するのに役立ちます。グループの執拗さと適応戦略を考慮すると、国家が支援する脅威から機密性の高い政府システムを保護するためには、積極的な防御とサイバー衛生が不可欠です。