Tomirisハッカーグループの新たな脅威

政府関係者や外交官を標的としたサイバー攻撃の新たな波が、ロシアと中央アジア全域で確認されています。数年前から活動している脅威アクターであるTomirisは、高価値な政治的ターゲットに焦点を当てていることで知られています。最新の調査によると、このグループは現在、侵害したコンピューターを制御するためにTelegramやDiscordのような人気アプリを利用するなど、追跡を隠蔽するためのより高度な手法を採用しています。

Kasperskyの新たなレポートによると、Tomirisは2025年初頭に洗練されたキャンペーンを開始し、その運用方法における重大な変化を明らかにしました。

攻撃の手口

攻撃は通常、フィッシングメールから始まります。これらのメールは、経済発展や協力協定に関する政府の公式文書を模倣しているかのように巧妙に作成されています。メールにはパスワード保護されたアーカイブファイル（zipファイル）が含まれており、本文中には「min @2025」のようなパスワードが記載されています。

被害者がアーカイブを開き、内部のファイル（多くの場合、Word文書に見せかけた悪意のあるプログラム）をクリックすると、コンピューターが感染します。システムに侵入した後、Tomirisはさまざまな新しい「インプラント」（悪意のあるソフトウェアツール）を使用します。過去数年間からの顕著な変化として、このグループはC/C++、Rust、Go、Pythonといった複数のプログラミング言語を使用してこれらのツールを開発しており、標準的なウイルス対策ソフトウェアによるパターン検出をはるかに困難にしています。

隠蔽戦術：正規サービスを悪用

最も危険な新戦術の一つは、ハッカーが感染したマシンと通信する方法です。Tomirisは不審なプライベートサーバーを使用する代わりに、合法的なパブリックサービスを悪用しています。

• Discord：Rust言語で書かれたツールの一つは、システム情報とファイルリストをプライベートなDiscordチャンネルに送信します。
• Telegram：他のツールはTelegramボットを使用して、ハッカーからコマンドを受信し、盗んだデータを送り返します。

多くの組織が業務目的でDiscordやTelegramへのトラフィックを許可しているため、この悪意のある活動は通常のネットワークトラフィックに紛れ込み、セキュリティチームが発見することを非常に困難にしています。

感染後の活動と標的

初期感染後、ハッカーはコンピューターの迅速なチェックを実行します。ターゲットが価値のある場合、彼らはさらに強力なソフトウェアをダウンロードします。レポートでは、攻撃者がシステムの完全な制御を可能にする2つのオープンソースフレームワーク、HavocとAdaptixC2を特定しています。これらにより、彼らは機密文書（PDFや画像などのファイルをターゲットとする）を盗み出し、画面アクティビティを記録し、政府ネットワークのさらに奥深くに侵入して他のコンピューターをスパイすることができます。

このキャンペーンは非常に集中的です。フィッシングメールの50%以上がロシア語の名前とテキストを使用しており、ロシア語圏のエンティティに重点を置いていることを示しています。その他のターゲットには、トルクメニスタン、キルギスタン、タジキスタン、ウズベキスタンのユーザーが含まれており、メールはそれぞれの現地語に調整されていました。

セキュリティ専門家からの警告

セキュリティ専門家は、Tomirisがステルスと長期的なスパイ活動に注力していると警告しています。プログラミング言語を絶えず変更し、信頼されているアプリの背後に隠れることで、彼らは地域の外交および政府のセキュリティに対する永続的な脅威であり続けています。組織は、Telegramのような信頼されているアプリであっても、ネットワークトラフィックを精査し、これらの巧妙な侵害の兆候を捉えるよう強く求められています。

---

元記事: https://gbhackers.com/tomiris-hacker-group-unveils-new-tools-and-techniques-for-global-attacks/