サイバーニュース.jp

世界のサイバーなニュースを配信

パキスタン関連のサイバー攻撃キャンペーンがインド政府機関を標的に

カテゴリ:

はじめに

セキュリティ研究者が、インド政府機関を標的とした新たなサイバー攻撃キャンペーン「Gopher Strike」と「Sheet Attack」を発見しました。これらのキャンペーンはパキスタンに関連する脅威アクターによって実行されており、既存のAPT36グループの新しいサブグループか、並行して活動する別のグループによるものと推測されています。Zscaler ThreatLabzが2025年9月に特定したこの活動は、巧妙な回避技術と一般的なサービスを悪用する点で注目されています。

二つの攻撃キャンペーン: Gopher StrikeとSheet Attack

今回の攻撃は主に二つのキャンペーンに分けられます。

  • Sheet Attack: Google Sheets、Firebase、メールといった正規のサービスをコマンド&コントロール(C2)通信に利用する点が特徴です。これにより、悪意のある通信が通常のネットワークトラフィックに紛れ込みやすくなります。
  • Gopher Strike: フィッシングメールを起点とし、偽のソフトウェア更新を装ってマルウェアを配布します。特に、標的のシステム環境を厳密にチェックすることで、セキュリティ分析ツールによる検知を回避する仕組みが組み込まれています。

Gopher Strikeの詳細な手口

Gopher Strikeは、ユーザーを欺くために以下のような多段階のプロセスを踏みます。

まず、標的のユーザーにはフィッシングメールが送付され、ぼやけた画像を含むPDFドキュメントを開くよう促されます。この画像は、Adobe Acrobat Reader DCの更新を促すポップアップと重ねて表示され、ユーザーに「ドキュメントにアクセスするには更新が必要」と誤解させます。

ユーザーが偽の「ダウンロードとインストール」ボタンをクリックすると、ISOイメージファイルがダウンロードされます。しかし、このダウンロードは、リクエストがインドのIPアドレスから発信され、かつUser-Agent文字列がWindowsに対応している場合にのみ実行されるよう、サーバー側で厳密にチェックされます。これにより、自動化されたURL分析ツールがマルウェアファイルを入手することを防ぎ、標的を絞った攻撃が可能となります。

GOGITTERとGITSHELLPADの機能

ISOイメージファイル内に組み込まれている悪意のあるペイロードは、Golangベースのダウンローダー「GOGITTER」です。GOGITTERは以下の機能を持っています。

  • 「C:\Users\Public\Downloads」「C:\Users\Public\Pictures」「%APPDATA%」にVBScriptファイルを作成します。
  • 作成されたVBScriptは、30秒ごとに2つの事前設定されたC2サーバーからコマンドを取得します。
  • 50分ごとにVBScriptファイルを実行するようスケジュールされたタスクを設定し、永続化を図ります。
  • 「adobe_update.zip」の有無を確認し、存在しない場合はプライベートGitHubリポジトリ(github[.]com/jaishankai/sockv6)からアーカイブをダウンロードします。
  • ダウンロードが成功すると、「adobe-acrobat[.]in」ドメインにHTTP GETリクエストを送信し、感染を脅威アクターに通知します。
  • 最終的に、ZIPファイルから「edgehost.exe」を抽出し実行します。

「edgehost.exe」は、軽量なGolangベースのバックドア「GITSHELLPAD」であるとされています。GITSHELLPADは、脅威アクターが制御するプライベートGitHubリポジトリをC2として利用し、15秒ごとにC2サーバーにGETリクエストを送信して「command.txt」ファイルの内容にアクセスします。サポートされるコマンドは以下の通りです。

  • cd ..: 親ディレクトリへ移動
  • cd <path>: 指定されたパスへ移動
  • run <command>: バックグラウンドでコマンドを実行(出力はキャプチャしない)
  • upload <local_file_path>: ローカルファイルをGitHubリポジトリにアップロード
  • download <remote_file_path>: ファイルを指定されたパスにダウンロード
  • default case: cmd /cでコマンドを実行し出力をキャプチャ

コマンド実行結果は「result.txt」に保存され、HTTP PUTリクエストを介してGitHubアカウントにアップロードされます。コマンドが正常に実行されると、「command.txt」はGitHubリポジトリから削除されます。

GOSHELLによるCobalt Strikeの展開と回避技術

脅威アクターは、被害者のマシンへのアクセス獲得後、cURLコマンドを使用してRARアーカイブをダウンロードする様子も観測されています。これらのアーカイブには、システム情報収集ユーティリティや、Cobalt Strike Beaconを複数回デコードした後に配信するために使用される独自のGolangベースのローダー「GOSHELL」が含まれています。

GOSHELLは、アンチウイルスソフトウェアによる検出を回避するために、ジャンクバイトを追加して移植可能実行可能ファイル(PE)オーバーレイのサイズを約1ギガバイトに人為的に膨らませるという高度な回避技術を使用しています。また、ハードコードされたリストに基づいて特定のホスト名でのみ実行されるように設計されており、標的の環境以外での分析を困難にしています。これらのツールは、使用後にマシンから削除されます。

まとめ

今回のパキスタン関連のサイバー攻撃キャンペーンは、フィッシング、正規サービスの悪用、高度なマルウェア、そして巧妙な回避技術を組み合わせて、インド政府機関を執拗に標的にしています。組織は、このような進化する脅威に対して、従業員のセキュリティ意識向上と多層的な防御戦略を強化する必要があります。

元記事: https://thehackernews.com/2026/01/experts-detect-pakistan-linked-cyber.html

投稿をさらに読み込む