概要:インド政府機関へのサイバー攻撃
2025年7月、サイバーセキュリティ企業CYFIRMAは、インド政府および軍事組織が使用するLinuxベースのオペレーティングシステムを標的とした、活発なフィッシングキャンペーンを明らかにしました。この作戦は、パキスタンと関連する脅威グループであるTransparentTribe(APT36またはOperation C-Majorとしても知られる)によるもので、パキスタンの戦略的利益を支援する一連のサイバー諜報活動の最新のものです。
TransparentTribeの進化する戦術
2013年以降活動しているTransparentTribeは、インド国内の時事問題や社会不安を利用して、機密性の高い政府機関を侵害する戦術を進化させてきました。2025年6月に検出された初期の攻撃は、Linux環境、特に多くのインド政府機関で義務付けられているBharat Operating System Solutions(BOSS)ディストリビューション向けに特別に構築された洗練された配信および感染メカニズムを特徴としていました。
感染チェーンの詳細
このキャンペーンの感染チェーンは、悪意のあるZIPアーカイブを含むフィッシングメールから始まります。このアーカイブは、公式の政府文書を装った巧妙に作成されたDESKTOPファイルを隠しています。実行されると、DESKTOPファイルは多段階のBashワンライナーをトリガーします。これは、リモートサーバーからbase64エンコードされたペイロードをダウンロードし、デコードして/tmp/ディレクトリに書き込み、実行します。同時に、ユーザーの注意をそらすために、正当に見えるPDFデコイをFirefoxで開きます。
悪意のあるBashコマンドは、コメント化された埋め込みPNGデータのブロック間に戦略的に隠されており、検出を困難にしています。調査により、TransparentTribeのZIPアーカイブ「MoM_regarding_Defence_Sectors_by_Secy_Defence_25_Sep_2025.zip」には、この攻撃に必要なすべての要素が含まれていました。ただし、この実行チェーンはcurl、eval、xxdなどのLinux組み込みコマンドに依存していますが、皮肉なことにxxdはBOSS Linuxにデフォルトでインストールされておらず、ペイロードの実行を妨げる可能性があります。
DeskRAT:技術分析とC2インフラ
このキャンペーンは最終的に、Golangで書かれたリモートアクセス型トロイの木馬(RAT)であるDeskRATを配信します。DeskRATは、Linux環境での回避技術を主とする記述的な関数名を特徴としており、開発中に大規模言語モデル(LLM)の支援があった可能性を示唆しています。分析されたサンプルは難読化されておらず、そのコアルーチンは正当なシステムおよびメモリ操作をシミュレートしますが、ほとんどの関数は「餌」として機能し、その出力は使用されません。
永続性は、systemdサービス作成、crontabスケジューリング、自動起動デスクトップファイル、bashスタートアップスクリプトなど、Linux固有の方法で実現されます。DeskRATは、複数のコマンド&コントロール(C2)サーバーのいずれかと、保護されていないWebSocketを介して通信を確立します。送信される初期JSONメッセージには、ハードコードされたOfficeおよびChromeのバージョン番号、ランダムなCPU統計など、偽の無関係なメタデータが含まれており、RATの真のプラットフォームを隠すことを目的としている可能性があります。DeskRATは、C2オペレーターがファイルを閲覧し、機密データを収集し、セカンダリペイロードをドロップして実行し、感染したシステムをリモートで制御することを可能にします。
デコイ文書と地政学的背景
標的を誘引するために、このキャンペーンは現実世界の出来事を悪用しています。「CDS_Directive_Armed_Forces.pdf」のようなデコイ文書は、インド国防省の将校に即時の作戦対応を促すものです。これらの文書は、2025年9月のラダック地域での暴力的な抗議活動や、2025年8月のニューデリーでの反対デモなど、重要な事件と密接に関連しています。公衆の不安と一致するタイミングでフィッシングの誘惑を行うことで、TransparentTribeは標的となる政府職員の間の高まる不安と警戒心の低下を利用しています。
今後の展望
TransparentTribeのキャンペーンは、カスタムツール、専用インフラ、コンテキストを意識したルアーなど、配信および回避技術における著しい進歩を浮き彫りにしています。マルウェア開発におけるLLMの使用は、迅速な反復を可能にし、防御側が同様に迅速に適応することを課題としています。DeskRATがLinuxシステム、特にBOSSディストリビューションに焦点を当てていることは、インド政府環境を標的とする戦略的転換を示しています。継続的な監視により、DeskRATペイロードと関連するC2ドメインの両方の進化するバージョンが明らかになっており、TransparentTribeがその手法を洗練し続けることを示唆しています。セキュリティチームは警戒を怠らず、これらの適応する脅威に対抗するための検出能力を強化する必要があります。