概要
Hydra Saigaは、長期間にわたるスパイ活動キャンペーンを展開しており、Telegram を悪用して中央アジアの重要なユーティリティや政府・インフラネットワークから機密データを盗み出しています。このキャンペーンは2024年12月に最初に確認され、その後、ISOやRARアーカイブに添付されたフィッシングメールを通じて拡散されています。
活動の詳細
Hydra Saigaは、Telegramをコマンド&コントロール(C2)チャネルとして使用するPowerShellバックドアを使用しています。このバックドアは、Telegram Bot API /getUpdatesエンドポイントを通じてオペレーターからの指示を受け取り、ファイルのアップロードやダウンロードを行います。
被害者
分析によると、少なくとも34の組織が8カ国で攻撃を受けており、その中には政府機関、エネルギー企業、医療施設などが含まれています。特に、2024年後半から2025年初頭にかけては、水道事業や発電所などを標的とした「Water Campaign」が展開されました。
攻撃手法
- Emailフィッシング: フィッシングメールには、パスワード保護されたRARアーカイブが添付され、その中に悪意のあるマクロを含むWordドキュメントがあります。
- Credentialアクセス: クレデンシャルのエクスプロイトには、ログイン画面の偽装やLSASSダンプなどが含まれます。
- Lateral Movement: WMIやPsExecを使用してネットワーク内での移動を行います。
防御策
攻撃を防ぐためには、api.telegram.orgへのアクセスをブロックし、Telegram Bot API C2チャネルの機能を停止させることが有効です。 また、異常な外部接続やログインアノマリーの監視も重要となります。
結論
Hydra Saigaは、中央アジアを中心に活動しており、その攻撃手法と目的から、国家レベルでの関与が疑われています。セキュリティ対策として、組織は継続的なモニタリングと防御戦略の強化が必要です。