「Mysterious Elephant」APTグループの脅威
最近明らかになったキャンペーンで、高度な持続的脅威(APT)グループである「Mysterious Elephant」が、アジア太平洋地域の政府機関および外交政策機関に対し、巧妙な一連の侵入を実行しました。2025年初頭から活動している最新の作戦では、カスタムビルドのマルウェアモジュールと改変されたオープンソースユーティリティを悪用し、WhatsAppを介して送信される文書、画像、アーカイブを標的として窃取しています。
このグループは、2023年にKaspersky LabのGlobal Research and Analysis Team(GReAT)によって初めて特定されて以来、検出を回避し、機密性の高いデータを窃取するために、その戦術、技術、手順(TTPs)を継続的に洗練させています。初期のキャンペーンでは、Origami Elephantがかつて使用していたVtyreiダウンローダーを悪用し、CVE-2017-11882 Officeの脆弱性をリモートテンプレートインジェクションを通じて悪用していました。Mysterious Elephantは、これらのツールを保持、強化、近代化し、現在の作戦を支える独自のツールキットを構築しています。
新しいキャンペーンでは、スピアフィッシングが主要な侵入経路となっています。スピアフィッシングメールは高度にパーソナライズされており、パキスタンの国連安全保障理事会常任理事国入りへの働きかけなど、地域の外交テーマを引用することがよくあります。受信者は、開くと悪意のあるペイロードをインストールするように細工された、一見正当な添付ファイルを受け取ります。この標的型アプローチは、高価値ネットワークへの初期足がかりを得る上でのグループの精度と執着を浮き彫りにしています。
高度なツールセットとモジュラー型マルウェア
Mysterious Elephantは、侵入後、カスタムおよび適応型ツールの兵器庫を展開します。
- 永続化メカニズム: これらのスクリプトは、ネットワーク変更時にトリガーされるスケジュールされたタスクを作成し、自動分析システムを回避するために実行を遅延させることで永続性を確立します。
- BabShell: コアコンポーネントであるBabShellは、C++ベースのリバースシェルであり、攻撃者制御サーバーから受信したコマンドを実行するためにスレッドを生成します。ユーザー名、マシン名、MACアドレスなどのシステム詳細を収集した後、無限ループに入り、指示を処理し、後で取得するためにタイムスタンプ付きのテキストファイルに結果を保存します。
- PowerShellスクリプトの悪用: PowerShellスクリプトは、curlやcertutilなどのネイティブWindowsユーティリティを悪用して、次の段階のペイロードをダウンロードします。
- MemLoaderのバリアント: BabShellを補完するのは、MemLoaderリフレクティブPEローダーの2つのバリアントです。
- MemLoader HidenDesk: RC4のようなアルゴリズムを使用してシェルコードを復号化および実行し、商用RATサンプル(Remcos)を完全にメモリ内でフェッチします。また、その操作を隠蔽するために隠しデスクトップ環境を作成します。
- MemLoader Edge: bing.comのポート445をプローブすることでサンドボックス回避チェックを組み込んでいます。接続が成功するとデコイのポップアップがトリガーされ、失敗した場合はVRatバックドアの復号化とメモリ内ロードが行われます。
- データ窃取モジュール: データ窃取はWhatsAppのアーティファクトに重点を置いています。
- Uplo ExfiltratorおよびStom Exfiltrator: ドキュメント、スプレッドシート、アーカイブ、証明書、メディアなどの標的ファイルタイプを再帰的にディレクトリを走査して特定し、XOR復号化とBase64エンコーディングを使用してコマンド&コントロールサーバーにアップロードし、検出を阻止します。
- ChromeStealer Exfiltrator: 文字列の難読化を利用して活動を隠蔽し、クッキー、トークン、Chromeユーザーデータ(WhatsAppウェブ転送を含む)をさらに収集します。
巧妙なインフラストラクチャ
グループのインフラストラクチャは、リクエストごとに一意のドメインを生成するためにワイルドカードDNSレコードを利用し、ホスティングには複数の仮想プライベートサーバー(VPS)プロバイダーを使用しています。この動的な環境は、防御側の追跡を複雑にし、帰属特定を妨げます。統計分析は、特定のVPSベンダーに対する一貫した選好を示しており、迅速なスケーリングと適応性に合わせた長期的な運用インフラストラクチャを示唆しています。
地理的焦点と推奨される防御策
Mysterious Elephantの主な被害者は、パキスタン、バングラデシュ、スリランカ、アフガニスタン、ネパールの政府機関および外交機関です。攻撃者の精密な標的型フィッシングとカスタマイズされたペイロードは、地域の政治的背景と機関のコミュニケーションチャネルに対する深い理解を示しています。
この脅威を軽減するために、組織は以下の対策を講じるべきです。
- 厳格なパッチ管理を徹底する。
- 異常なスケジュールされたタスクの作成やDNS異常を監視するためにネットワーク監視を展開する。
- 定期的なフィッシング認識トレーニングを提供する。
- 地域のサイバーセキュリティチーム間の緊密な連携と国際的な情報共有は、新たな侵害指標を検出し、グループの進化する活動を阻止するために不可欠です。
Mysterious Elephantの絶えず変化するTTPsを研究し、プロアクティブなセキュリティ対策を採用することで、影響を受ける組織は、この執拗で技術的に洗練された敵に対する防御を強化することができます。