謎のAPTグループ「Mysterious Elephant」による高度な攻撃
最近明らかになったキャンペーンで、高度な持続的脅威(APT)グループである「Mysterious Elephant」が、アジア太平洋地域の政府機関および外交政策機関に対し、洗練された一連の侵入を実行しました。2025年初頭から活動している最新の作戦では、カスタムビルドのマルウェアモジュールと改変されたオープンソースユーティリティを悪用し、WhatsAppを介して送受信される文書、画像、アーカイブを標的として窃取しています。
2023年にKaspersky LabのGlobal Research and Analysis Team(GReAT)によって初めて特定されたこのグループは、検出を回避し、機密性の高いデータを窃取するために、その戦術、技術、手順(TTPs)を継続的に洗練させています。初期のキャンペーンでは、CVE-2017-11882 Officeの脆弱性をリモートテンプレートインジェクションを通じて悪用し、かつてOrigami Elephantが使用していたVtyreiダウンローダーを利用していました。Mysterious Elephantはこれらのツールを維持、強化、近代化し、現在の作戦を支える独自のツールキットを構築しています。
今回の新たなキャンペーンでは、スピアフィッシングが主要な侵入経路となっています。スピアフィッシングメールは高度にパーソナライズされており、パキスタンの国連安全保障理事会常任理事国入りへの働きかけなど、地域の外交テーマをしばしば利用しています。受信者は、開くと悪意のあるペイロードをインストールするように細工された、一見正当に見える添付ファイルを受け取ります。この標的型アプローチは、高価値ネットワークへの初期足がかりを得る上でのグループの精度と執着を浮き彫りにしています。
カスタムツールセットとモジュラーマルウェア
Mysterious Elephantは、侵入後、カスタムツールと適応型ツールの兵器庫を展開します。これらのスクリプトは、ネットワーク変更時にトリガーされるスケジュールされたタスクを作成し、自動分析システムを回避するために実行を遅延させることで、永続性を確立します。
- BabShell: コアコンポーネントであるBabShellは、C++ベースのリバースシェルであり、攻撃者制御サーバーから受信したコマンドを実行するためにスレッドを生成します。ユーザー名、マシン名、MACアドレスなどのシステム詳細を収集した後、無限ループに入り、指示を処理し、タイムスタンプ付きのテキストファイルに結果を保存して後で取得します。
- PowerShellスクリプト: ネイティブのWindowsユーティリティであるcurlとcertutilを悪用して、次の段階のペイロードをダウンロードします。
- MemLoaderリフレクティブPEローダー: BabShellを補完する形で、MemLoaderリフレクティブPEローダーの2つのバリアントが使用されます。
- MemLoader HidenDesk: RC4のようなアルゴリズムを使用してシェルコードを復号化および実行し、商用RATサンプル(Remcos)を完全にメモリ内でフェッチします。また、その操作を隠蔽するために隠しデスクトップ環境を作成します。
- MemLoader Edge: bing.comのポート445をプローブすることでサンドボックス回避チェックを組み込んでいます。接続が成功するとデコイポップアップがトリガーされ、失敗するとVRatバックドアが復号化され、メモリ内にロードされます。
データ窃取の手口
データ窃取は、WhatsAppのアーティファクトに重点を置いています。Uplo ExfiltratorとStom Exfiltratorなどのモジュールは、ディレクトリを再帰的に走査して、文書、スプレッドシート、アーカイブ、証明書、メディアなどの標的ファイルタイプを特定し、XOR復号化とBase64エンコーディングを使用してコマンド&コントロールサーバーにアップロードし、検出を阻止します。さらに、ChromeStealer Exfiltratorは、Cookie、トークン、Chromeユーザーデータ(WhatsAppウェブ転送を含む)を収集し、文字列の難読化を利用してその活動を隠蔽します。
インフラストラクチャと地理的焦点
グループのインフラストラクチャは、ワイルドカードDNSレコードを利用してリクエストごとに一意のドメインを生成し、ホスティングには複数の仮想プライベートサーバー(VPS)プロバイダーを使用しています。この動的な環境は、防御側の追跡を複雑にし、帰属の特定を妨げます。統計分析は、特定のVPSベンダーに対する一貫した選好を示しており、迅速なスケーリングと適応性に合わせた長期的な運用インフラストラクチャを示唆しています。
Mysterious Elephantの主な被害者は、パキスタン、バングラデシュ、スリランカ、アフガニスタン、ネパールの政府機関および外交機関です。攻撃者の精密な標的型フィッシングとカスタマイズされたペイロードは、地域の政治的背景と機関のコミュニケーションチャネルに対する深い理解を示しています。
推奨される防御策
この脅威を軽減するために、組織は以下の対策を講じるべきです。
- 厳格なパッチ管理を徹底する。
- 異常なスケジュールされたタスクの作成やDNS異常を監視するためのネットワーク監視を展開する。
- 定期的なフィッシング認識トレーニングを提供する。
- 地域のサイバーセキュリティチーム間の緊密な協力と国際的な情報共有が、新たな侵害指標を検出し、グループの進化する作戦を阻止するために不可欠です。
Mysterious Elephantの絶えず変化するTTPsを研究し、プロアクティブなセキュリティ対策を採用することで、影響を受ける組織は、この執拗で技術的に洗練された敵に対する防御を強化することができます。