概要:インド政府を狙うAPT36の巧妙なスピアフィッシング
パキスタンを拠点とする高度な持続的脅威グループAPT36(別名TransparentTribe)が、インド政府機関を標的とした洗練されたスピアフィッシングキャンペーンを活発に展開しています。このキャンペーンは、「NIC eメールサービス」を装ったメールを誘い水とし、偽装ドメインと悪用されたインフラを利用して認証情報を窃取し、長期的なスパイ活動を可能にしています。
攻撃の手口:偽のログインポータルと認証情報窃取
攻撃は、インド政府のデジタル基盤であるNational Informatics Centre(NIC)からの公式通知を巧妙に模倣したメールから始まります。被害者は「NICeMail Services」と称する偽のログインポータルに誘導され、そこでメールアドレスやパスワードなどの機密情報を入力させられます。この偽のログインページは、正規のNICウェブメールインターフェースと酷似しており、キャンペーンの信憑性を高め、成功の可能性を増大させています。
悪意あるインフラ:偽装ドメインとC2サーバー
この作戦を支える悪意あるインフラは、最近のAPT36の活動に関連する複数のドメインとサーバーで構成されています。
- accounts.mgovcloud[.]in.departmentofdefence[.]live:このドメインはフィッシングページをホストし、NICの正規ウェブポータルの外観を偽装して、偽のログインフォームで送信されたユーザー認証情報を収集します。
- departmentofdefence[.]live:親ドメインとして機能し、政府関連を示唆することで追加の信頼性を与えています。
- 81.180.93[.]5:「ステルスサーバー」のコマンド&コントロール(C2)インターフェースにリンクしており、ポート8080経由でアクセス可能です。このパネルは、感染システムから流出したデータを受信し、侵害後に展開されたマルウェアインプラントを制御するために使用されます。
- 45.141.59[.]168:このキャンペーンに関与する別のIPアドレスで、マルウェアペイロードをホストしたり、C2通信を促進したりする可能性があります。
ネットワークスキャンデータは、フィッシングドメインの有効なTLS証明書を確認しており、ブラウザの警告を回避し、標的ユーザーの目には正当性を強化するための追加の運用セキュリティ層を示しています。
TransparentTribeの執拗なスパイ活動
APT36、またはTransparentTribeは、パキスタンに起因する悪名高い脅威グループであり、インドの防衛、外交、政府機関に長年にわたる関心を持っています。このグループの活動は、通常、スピアフィッシングとカスタマイズされたマルウェアの配信を伴い、データ窃取とスパイ活動を促進します。APT36は、非常に現実的なフィッシングページ、オープンソースの攻撃フレームワークの使用、現在の地政学的イベントの悪用など、常に進化する戦術を採用し、被害者の関与の可能性を高めています。今回のキャンペーンは、日常的なNICサービス通知を装っており、脅威グループが信頼を悪用し、基本的なセキュリティ制御を回避する能力を示しています。
推奨される対策と緩和策
セキュリティ専門家は、インド政府のユーザーおよび関連組織に対し、予期せぬまたは非公式なログインポータルで認証情報の入力を求められた際には、特に警戒を強めるよう助言しています。上記に挙げられたドメインやIPアドレスなどの侵害指標は、ネットワークレベルでブロックされるべきであり、ユーザーはスピアフィッシングの兆候について教育される必要があります。IT部門は、多要素認証を展開し、認証情報の悪用や異常なログインを継続的に監視するよう強く求められています。これらの対策は、APT36の主要な攻撃ベクトルを阻止するのに役立ちます。グループの執拗さと適応戦略を考慮すると、積極的な防御とサイバー衛生は、国家が支援する脅威から機密性の高い政府システムを保護するために不可欠です。