サイバーニュース.jp

世界のサイバーなニュースを配信

Elephant Group、MSBuildとPythonバックドアを悪用し防衛部門を攻撃

カテゴリ:

はじめに:Dropping Elephantによる新たなサイバー攻撃

インドと関連がある高度な持続的脅威(APT)グループ、Dropping Elephant(別名Patchwork APT、Hangover Group、APT-C-09)が、パキスタンの防衛部門に対し、洗練されたサイバー攻撃を展開していることが明らかになりました。このキャンペーンでは、新たに開発されたPythonベースのバックドアが、MSBuildドロッパーを通じて配布されています。これは、脅威アクターの戦術、技術、手順(TTPs)における著しい進化を示しており、既製のバイナリとカスタムマルウェアを組み合わせることで、検出を回避し、高価値の標的に対する永続的なアクセスを確立しています。

攻撃のメカニズム:巧妙な感染経路とMSBuildの悪用

今回の攻撃は、複雑な多段階感染チェーンを特徴としています。攻撃は、パキスタンの防衛関連をテーマにしたスピアフィッシングメールから始まります。これらのメールは、悪意のあるZIPアーカイブを被害者に送り付けます。アーカイブには、ドロッパーとして機能するMSBuildプロジェクトファイルと、被害者の疑いを逸らすためのデコイPDF文書が含まれています。

攻撃者は、正規のMicrosoftビルドツールであるMSBuild.exeを「Living-off-the-Land(LOL)」バイナリとして悪用しています。これにより、従来のセキュリティソリューションに検知されることなく、悪意のあるコードを実行します。この手法は、信頼されたシステムプロセスを悪用するため、エンドポイントセキュリティ製品による検出の可能性を大幅に低減させます。

  • MSBuildドロッパーは、動的API解決とUTF-reverse暗号化デコーディングを駆使して、静的解析中の悪意ある機能を隠蔽します。
  • ドロッパーは、被害者のシステムにPythonランタイム環境(pythonw.exe、python310.dll、python313.dllなど)をダウンロード・展開します。これにより、被害者システムにPythonがインストールされていなくてもバックドアを実行できます。
  • マルウェアは、永続化のために「KeyboardDrivers」「MsEdgeDrivers」「Microsoft Edge Update2Network」といった名前の複数のスケジュールされたタスクを作成し、システム再起動後もバックドアが活動を続けるようにします。

Pythonバックドアの正体とC2通信

感染チェーンの中核には、「python2_pycache.dll」と偽装されたマーシャリングされたPythonバイトコードバックドアが存在します。これは、実際のリモートアクセス型トロイの木馬(RAT)機能を含む偽のDLLファイルです。この隠蔽されたアプローチにより、攻撃者は正規のシステムライブラリファイルのように見せかけながら、実行可能なコードを隠すことができます。

埋め込まれたPythonランタイムは、このマーシャリングされたバイトコードを直接実行し、nexnxky.infoやupxvion.infoなどのドメインでホストされている攻撃者のインフラストラクチャとのコマンド&コントロール(C2)通信を確立します。

標的と戦略:防衛部門に特化した長期的な諜報活動

セキュリティ研究者は、今回のキャンペーンがDropping Elephantの確立された運用パターンと戦略的目標に合致していると高い確信を持って評価しています。この脅威グループは、歴史的にパキスタンの軍事、防衛、政府部門、特に研究開発、調達部隊、およびNational Radio and Telecommunication Corporationに関連する組織を標的とした長期的な諜報活動に焦点を当ててきました。

  • 攻撃チェーンの高度な性質と、パキスタンの防衛部門関係者への具体的な標的設定は、情報収集を目的とした、十分に資金力のある国家支援型作戦を示唆しています。
  • ジオフェンシングと地域制限されたターゲティングの使用は、攻撃者がインフラストラクチャと技術の露出を制限するための運用セキュリティ対策を講じていることを示唆しています。

検出と対策の推奨事項

防衛部門の組織は、悪意のある添付ファイルを含むスピアフィッシング攻撃を検出およびブロックするために、堅牢なメールセキュリティ制御を実装する必要があります。セキュリティチームは、以下の点に注意し、対策を講じるべきです。

  • MSBuild.exeの異常なプロセス実行、特に予期しない親プロセスから起動されたり、疑わしい場所からコードを実行したりするインスタンスを監視する。
  • 正規のMicrosoftサービスを模倣した名前を持つ新しいタスクの作成など、通常のスケジュールされたタスク作成パターンをベースライン化し、調査する。
  • 不正なPythonインタープリタがエンドポイントで実行されるのを防ぐため、アプリケーションの許可リストを実装する。
  • C2インフラストラクチャに関連する新しく登録されたまたは疑わしいドメインへのアウトバウンド接続を監視する。

元記事: https://gbhackers.com/elephant-group/

投稿をさらに読み込む