概要:APT36の新たな脅威
パキスタンを拠点とするサイバースパイグループAPT36(Transparent Tribe)が、インド政府機関に対する攻撃を激化させています。CYFIRMAの調査によると、同グループはLinuxベースのBOSSオペレーティング環境を侵害するために特別に設計された、高度なPythonベースのELFマルウェアを展開しています。これまでWindowsシステムを主に標的としてきたAPT36が、複数のプラットフォームに対応するツールを開発し、技術的な成熟度を高めていることが明らかになりました。
攻撃の詳細と初期侵入
今回のキャンペーンでは、正規のドキュメントを装った不正なLinuxショートカットファイルを含むスピアフィッシングメールが悪用されています。攻撃は、Analysis_Proc_Report_Gem_2025.zipというアーカイブファイルから始まり、これは標準的なドキュメントに見える悪意のある.desktopショートカットファイルを含んでいます。このショートカットファイルが実行されると、ユーザーにはパスワードで保護されたおとりPDFが表示される一方で、バックグラウンドで追加のペイロードが攻撃者制御のインフラから密かに取得されます。
ダウンロードされるコンポーネントは以下の2つの主要な場所から取得されます:
- おとりドキュメント:
lionsdenim[.]xyz - 悪意のあるペイロード:
185.235.137.90:32587
取得されたファイルには、64ビットELF実行可能ファイルswcbcと、永続化を可能にするシェルスクリプトswcbc.shが含まれており、これらは/tmp/ディレクトリに実行権限を付与されて保存され、バックグラウンドで起動されます。
マルウェアの機能と持続性
静的分析により、ELFバイナリがPyInstallerでコンパイルされたPythonベースの遠隔管理ツール(RAT)であることが判明しています。このRATは、LinuxとWindowsの両環境でシームレスに動作するように設計されており、クロスプラットフォーム対応が特徴です。
マルウェアは、管理者権限を必要とせず再起動後も存続するために、Linuxではsystemdユーザーサービス、Windowsではレジストリ変更を通じて永続性を確立します。実行されると、マルウェアはOSの詳細、ホスト名、ユーザー名、ネットワーク情報などを収集する包括的なシステム偵察を実行し、MACアドレスとユーザー名から一意の識別子を生成します。これにより、攻撃者は侵害されたホストを複数のセッションにわたって追跡し続けることができます。
このRATは、以下の機能を含む完全なコマンドセットをサポートしています。
- ディレクトリトラバーサル
- ファイル転送
- 任意のコマンド実行
- Pythonコードインジェクション
- スクリーンショットキャプチャ
- バルクデータ引き出しのための自動データアーカイブ
これにより、攻撃者は追加のペイロードをリモートで展開したり、機密文書を収集したり、シェルコマンドを実行したりして、システムへの完全なアクセスを維持できます。
攻撃インフラストラクチャ
攻撃のインフラストラクチャは、典型的な短期間運用されるセキュリティパターンを示しています。ドメインlionsdenim[.]xyzは、2025年11月3日にNamecheapを通じて登録され、記事執筆時点で22日しか経っていません。このドメインは67.223.118.206に解決され、このロサンゼルス拠点のサーバーは275以上のドメインをホストしています。ペイロード配信サーバー185.235.137.90はドイツのフランクフルトで運用されており、複数の脅威インテリジェンスソースによって悪意のあるものとして確認されています。.xyzトップレベルドメインの選択は、APT36が低コストで最小限の認証で登録できるオプションを好み、運用の柔軟性と迅速なインフラストラクチャの変更を可能にしていることを示しており、テイクダウンの試みや属性特定を困難にしています。
戦略的示唆と推奨事項
今回のキャンペーンは、APT36の運用ドクトリンにおける重要な進化を示しており、従来のWindowsマルウェアを超えて、インドの固有のBOSSオペレーティングシステムに合わせたLinuxを標的としたツールを採用しています。被害者のエコシステムに基づいて配信技術をカスタマイズするグループの能力は、地域での技術展開に対する深い理解を示しており、重要な政府ネットワーク内での長期的な持続性の見通しを高めます。
systemdベースの永続化メカニズム、クロスプラットフォーム互換性、および適応型フィッシング技術の組み込みは、成熟した脅威アクターがプラットフォームの多様性を克服しようとしていることを裏付けています。この進展は、ハイブリッドなWindows-Linux環境を運用する相互接続された政府機関やサードパーティパートナーにとってリスクを高めています。
セキュリティチームは、以下の点に注意を払うべきです。
- 埋め込みコマンドを含む
.desktopファイルの実行を監視する。 - systemdユーザーサービスの作成を追跡する。
- 特定されたIOCへのネットワーク接続にフラグを立てる。
BOSS Linuxを使用している組織は、アプリケーションのホワイトリスト化、LibreOfficeのマクロ実行制限、PyInstallerでパッケージ化されたバイナリを識別できるエンドポイント検出機能の導入を検討する必要があります。このキャンペーンは、Linuxに特化した脅威検出の緊急性を浮き彫りにしており、APT36がインドの重要インフラ全体で持続的な情報収集のためにその能力を洗練し続けていることを示しています。
侵害の痕跡(Indicators of Compromise – IOCs)
- SHA256ハッシュ:
defa2e29e45168471ce451196e1617b9659b3553b125e5464b1db032d7eac90a - SHA256ハッシュ:
5ff9777aac434cae5995bf26979b892197e3f0e521c73f127c2e2628e84ef509 - SHA256ハッシュ:
40a59422fa486c7ae214d6e816c2fd00bf4d75c081993a49c4bc22bb0165b7fe - SHA256ハッシュ:
4f4e795555740038904bc6365c58536a660d7f3206ac1a4e89612a9fdf97f6dd - ドメイン:
lionsdenim[.]xyz - IPアドレス:
185[.]235[.]137[.]90