概要:アシェン・レプスによる新たなサイバー攻撃
ハマスと関連があるとされる高度な持続的脅威(APT)グループ、「アシェン・レプス(Ashen Lepus)」、別名「WIRTE」が、中東の政府および外交機関に対するスパイ活動を強化しています。彼らは「アッシュタグ(AshTag)」と名付けられた新たなマルウェアスイートを展開し、その作戦能力と標的範囲の顕著な進化を示しています。
アシェン・レプスの活動範囲と手口の進化
2018年以来活動しているアシェン・レプスは、これまでパレスチナ自治政府、エジプト、ヨルダンといった近隣地域を主な標的としてきました。しかし、最近のインテリジェンスによると、その作戦範囲はオマーンやモロッコを含むアラビア語圏の国々へと大幅に拡大しています。
彼らの戦術も進化しており、以前は中程度の巧妙さでしたが、現在は以下のより高度な技術を採用しています:
- カスタムペイロードの暗号化の強化
- 正規のサブドメインを使用したインフラの難読化
- フォレンジック痕跡を最小限に抑えるためのメモリ内実行
これらの改善は、運用セキュリティと回避能力における戦略的な変化を示しています。
「アッシュタグ」マルウェアスイートの詳細
アッシュタグは、アシェン・レプスの従来のツールから大幅なアップグレードを遂げています。このモジュール式の.NETバックドアは、検出を回避するために正規のVisualServerユーティリティを装い、ステルス性を保ちながら持続性とリモートコマンド実行を実現するように設計されています。
このマルウェアスイートは、ファイル窃取、コンテンツダウンロード、追加モジュールのメモリ内実行など、広範な機能を備えています。感染経路は以下の通りです:
- 無害なPDFデコイファイルでターゲットを誘引
- 悪意のあるペイロードを含むRARアーカイブをダウンロードさせる
- バイナリファイルを実行すると、バックグラウンドで「AshenLoader」と呼ばれる悪意のあるDLLがサイドロードされる
- AshenLoaderが「AshenStager」を回収・実行し、これが最終的に完全なアッシュタグペイロードを展開し、スケジュールされたタスクを通じて永続性を確立する
巧妙化されたC2インフラとデータ窃取作戦
このキャンペーンで注目すべきは、グループが更新したコマンド&コントロール(C2)インフラです。アシェン・レプスは現在、自身のドメインでC2サーバーをホストする代わりに、api[.]healthylifefeed[.]comやauth[.]onlinefieldtech[.]comなどの正規のドメインのAPIおよび認証関連サブドメインを登録しています。これにより、悪意のある活動が正常なネットワークトラフィックに紛れ込み、検出が困難になっています。
また、グループは以下のような予防策も講じています:
- 一見無害なウェブページのHTMLタグ内にセカンダリペイロードを埋め込む
- 自動分析を防ぐための地理的フェンシングサーバー
- マルウェアに固有の特定のユーザーエージェント文字列をチェックする
自動感染後、アシェン・レプスは侵害されたシステムにアクセスして特定の文書を段階的に処理し、手動でのデータ窃取作戦を実行します。彼らの主要な目的は、被害者のメールアカウントから直接文書をダウンロードすることで、外交関連の情報を入手することです。
データ窃取には、オープンソースのファイル転送ツールであるRcloneが利用されており、悪意のある活動を通常のネットワークトラフィックに紛れ込ませています。これはアシェン・レプスによるRcloneの初の使用例として観測されています。
セキュリティベンダーによる対策と脅威の継続性
Palo Alto Networksの顧客は、Advanced WildFire、Advanced URL Filtering、Advanced DNS Security、Cortex XDR、XSIAM製品を通じて強化された保護を受けています。同社は、この活動に関連するドメインやURLを悪意のあるものとして識別するために、機械学習モデルと分析技術を更新しています。
アシェン・レプスは、イスラエルとハマスの紛争期間中も活動を継続し、他の脅威アクターが活動を減少させた時期にも新しいマルウェアを展開し続けました。これは、2025年10月のガザ停戦後も継続的な情報収集への明確なコミットメントを示しています。彼らのルアー文書のテーマは、主に中東の地政学的問題、特にパレスチナ自治区に関連しており、最近のキャンペーンではトルコとパレスチナ行政との関係に焦点が当てられています。
結論と推奨事項
中東の組織、特に政府および外交部門は、この進化する脅威に対して引き続き警戒を怠らないようにすべきです。