SideWinder APTグループの脅威が拡大
悪名高いSideWinder APTグループは、南アジア全域で認証情報窃取活動を強化しています。彼らは、政府機関、防衛、および重要インフラ組織を標的とした洗練されたフィッシングキャンペーンを展開し、偽のウェブメールポータルを利用しています。このキャンペーンは、2024年8月の活動から大幅にエスカレートしており、8ヶ月以上にわたり活動を継続しながら、検出を回避するために戦術を絶えず適応させています。
大規模なフィッシングインフラ
セキュリティ研究機関Hunt.ioは、SideWinderが運用する広範なフィッシングインフラを発見しました。パキスタン、ネパール、バングラデシュ、スリランカ、ミャンマーの政府機関を標的とした100以上のドメインが特定されています。セキュリティ研究者「Demon」は、パキスタン政府、パキスタン海軍、スリランカ海軍に対する攻撃を追跡し、その活動を明らかにする上で重要な役割を果たしています。
認証情報窃取の手口
SideWinderの現在のキャンペーンは、主に偽のOutlook Web AppおよびZimbraウェブメールログインページに焦点を当てた多角的なアプローチを採用しています。このグループは、Netlify、Cloudflare Pages、Back4Appを含む複数の無料ホスティングプラットフォームのインフラを侵害し、悪意のあるポータルをホストしています。
- バングラデシュでは、国防総局(DGDP)を特に標的とし、公式の防衛調達システムを模倣した偽の「保護されたファイル」ポータルを使用しています。これにより、職員は正規の防衛文書にアクセスしていると信じ込まされ、ログイン情報が窃取されます。
- ネパールは主要な標的として浮上しており、Hunt.ioは2024年5月から9月の間に17の活動中のフィッシングポータルを特定しました。これらの活動の約70%は、集中型政府ウェブメールシステムを偽装しており、残りは首相の中国訪問や国家AI政策草案に関連する政治的テーマの文書を餌として利用しています。
- ミャンマーの中央銀行は、偽のZimbraポータルを通じて標的とされており、窃取された認証情報は他の地域標的の作戦で使用されるのと同じ収集サーバーに送られています。この共有インフラアプローチは、グループの運用効率とリソース最適化を示しています。
- パキスタンは特に集中的な標的となっており、SideWinderは宇宙・高層大気研究委員会(SUPARCO)、パキスタン空港庁、国家通信公社などの重要な組織になりすましています。このグループは、被害者のメールアドレスをBase64形式でエンコードして追跡およびセッション管理を行う、洗練されたJavaScriptベースのフィッシングキットを使用しています。
海事セクターへの注力と技術的洗練
従来のフィッシングに加え、SideWinderは悪意のある実行可能ファイルやデコイファイルをホストするオープンディレクトリを維持しており、海事セクターに明確に焦点を当てています。研究者たちは、themegaprovider.ddns.netおよびgwadarport.ddns.netで公開されているコマンド&コントロールエンドポイントを特定しており、これらはパキスタンおよびスリランカの海事作戦を標的とした40以上の異なるマルウェアサンプルをホストしています。IPアドレス46.183.184.245は、govmm[.]orgに加え、govnp[.]orgおよびandc[.]govaf[.]orgとも関連しており、帰属特定において重要な役割を果たしています。
このグループの技術的な洗練は、セッション追跡のためのハードコードされたCSRFトークンの使用や、フィッシングフローを難読化するための多段階リダイレクトメカニズムの実装にも及んでいます。
活動範囲の拡大と推奨事項
このキャンペーンの範囲は南アジアを超えており、シンガポール労働省に対する波及攻撃も確認されており、SideWinderの活動範囲が拡大している可能性を示唆しています。グループが永続的なアクセスを維持し、ドメインを迅速に循環させる能力は、従来のセキュリティ対策にとって大きな課題となっています。
セキュリティ専門家は、この持続的な脅威に効果的に対抗するために、以下の対策を推奨しています。
- 無料ホスティングプラットフォームのプロアクティブな監視
- メールフィルタリングの強化
- 地域的なサイバーセキュリティ協力