概要
パキスタンを拠点とする高度な持続的脅威グループAPT36(別名TransparentTribe)が、インド政府機関を標的にした巧妙なスピアフィッシングキャンペーンを活発に展開しています。このキャンペーンは、「NIC eメールサービス」を装ったメールを悪用し、資格情報を窃取して長期的なスパイ活動を可能にすることを目的としています。
攻撃の詳細
攻撃は、インド政府のデジタル基盤であるNational Informatics Centre(NIC)からの公式通知を巧妙に模倣したメールメッセージから始まります。被害者は、「NICeMail Services」とブランド化された偽のログインポータルに誘導され、メールアドレスやパスワードなどの機密情報を入力させられます。この偽のログインページは、正規のNICウェブメールインターフェースと酷似しており、キャンペーンの信憑性と成功の可能性を高めています。
悪用されたインフラ
この作戦を支える悪意のあるインフラは、最近のAPT36の活動に関連する複数のドメインとサーバーで構成されています。主なものは以下の通りです。
- accounts.mgovcloud[.]in.departmentofdefence[.]live:NICの正規ウェブポータルの外観を偽装し、偽のログインフォームでユーザーの資格情報を収集するフィッシングページをホストしています。
- departmentofdefence[.]live:親ドメインとして機能し、政府機関との関連を示唆することで信頼性を高めています。
- 81.180.93[.]5:「ステルスサーバー」のコマンド&コントロール(C2)インターフェースにリンクしており、ポート8080経由でアクセス可能です。このパネルは、感染システムから流出したデータを受信し、侵害後に展開されたマルウェアインプラントを制御するために使用されます。
- 45.141.59[.]168:キャンペーンに関与する別のIPアドレスで、マルウェアペイロードのホスティングやC2通信の促進に利用されている可能性があります。
フィッシングドメインには有効なTLS証明書が確認されており、ブラウザの警告を回避し、標的ユーザーの目には正当性を強化するための追加の運用セキュリティ層が示されています。
TransparentTribeの継続的なスパイ活動
APT36、またはTransparentTribeは、パキスタンに起因する悪名高い脅威グループであり、インドの防衛、外交、政府機関に長年にわたり関心を持っています。このグループの活動は、通常、データ窃盗とスパイ活動を促進するためのスピアフィッシングとカスタマイズされたマルウェア配信を伴います。APT36は、非常に現実的なフィッシングページ、オープンソースの攻撃フレームワークの使用、現在の地政学的イベントの悪用など、常に進化する戦術を採用し、被害者の関与の可能性を高めています。今回の最新キャンペーンは、日常的なNICサービス通知を装っており、脅威グループが信頼を悪用し、基本的なセキュリティ制御を回避する能力を示しています。
緩和策
セキュリティ専門家は、インド政府のユーザーおよび関連組織に対し、特に予期せぬまたは非公式なログインポータルで資格情報の入力を求められた場合には、警戒を強化するよう助言しています。上記のドメインやIPアドレスなどの侵害指標(IOC)は、ネットワークレベルでブロックされるべきであり、ユーザーはスピアフィッシングの兆候について教育される必要があります。IT部門は、多要素認証(MFA)を展開し、資格情報の悪用や異常なログインを継続的に監視するよう強く求められています。これらの対策は、APT36の主要な攻撃ベクトルを阻止するのに役立ちます。グループの執拗な活動と適応戦略を考慮すると、国家が支援する脅威から機密性の高い政府システムを保護するためには、積極的な防御とサイバー衛生が引き続き重要です。