概要:14年続く広範なサイバー作戦が明らかに
セキュリティ研究機関Malantaが、過去14年以上にわたり継続してきたインドネシア語圏の大規模なサイバー犯罪作戦を明らかにしました。この作戦は、国家レベルの支援を示唆する高度なインフラと、標的型攻撃グループ(APT)の特徴を備えており、従来のサイバー犯罪グループの範疇を超えているとされています。
少なくとも2011年から継続的に活動しており、違法なギャンブル運営、マルウェアの配布、ドメインのハイジャック、さらには世界中の企業および政府ネットワークへのインフラ侵入など、多岐にわたるサイバー活動を展開しています。
作戦の規模と洗練度
このサイバー作戦は、その規模と技術的な洗練度において特筆すべきものです。攻撃者は328,000以上のドメインを掌握しており、内訳は以下の通りです。
- 236,433件:ギャンブル運営のために購入されたドメイン
- 90,125件:ハイジャックされた正規ドメイン
- 1,481件:侵害されたサブドメイン
そのインフラはAWSやAzureといった主要なクラウドプラットフォームにまたがり、Cloudflareや米国を拠点とするIPアドレスでホストされています。攻撃者はWordPressの脆弱性、PHPコンポーネントの弱点、未解決のDNSレコード、期限切れのクラウドサービスなどを組織的に悪用し、信頼性の高いドメインを武器化しています。特に懸念されるのは、欧米諸国の政府サブドメインをハイジャックし、TLS終端リバースプロキシを設定することで、コマンド&コントロール(C2)トラフィックを正規のHTTPS接続に見せかけ、セッションクッキーの窃取を可能にしている点です。
巧妙なモバイルマルウェア配布網
研究者たちは、約7,700のドメインが少なくとも20のAWS S3バケットへのリンクを含んでいることを発見しました。これらのバケットには、「deltaslot88.apk」や「jayaplay168.apk」といったギャンブルテーマの数千もの悪意あるAndroidアプリケーションがホストされています。
ギャンブルサイト自体は地理的にインドネシアのIPアドレスからのみアクセス可能であり、BCA、Mandiriといった現地の銀行や、DANA、OVOなどのデジタルウォレットを使用したインドネシアの電話番号と現地銀行口座情報での登録が必要です。
ラボ分析では、これらのAPKが追加の悪意あるペイロードをダウンロードするドロッパーとして機能し、データ流出のために外部ストレージにアクセスし、GoogleのFirebase Cloud Messagingを使用してリモートコマンドを受信していることが判明しました。アプリケーション内にハードコードされた認証情報とAPIキーは、マルウェアが共通のC2インフラと通信し、複数のサンプルが「jp-api.namesvr[.]dev」のようなドメインと通信していることを示しています。
ドメインおよびサブドメインの広範なハイジャック
ドメインおよびサブドメインのハイジャックは、この作戦の特に憂慮すべき側面です。攻撃者は侵害したWebサイトに悪意あるコンテンツを注入し、しばしばLazada、eBay、Envatoなどの人気プラットフォームから取得したHTML内にギャンブルリンクを隠蔽しています。特定のテンプレートを持たないこれら108,000のドメインは、わずか約600のIPアドレスでホストされており、そのうち92%が少なくとも2つのドメインをホストしていることから、単一の脅威アクターによる集中管理の強い証拠が示されています。
西側政府機関を標的としたサブドメインのハイジャックは特に問題です。これらの侵害されたサブドメインは、親ドメインのセッションクッキーを継承し、金融サービスや機密データシステムからの認証情報窃取の機会を生み出しています。正規の政府FQDNに展開されたNGINXベースのリバースプロキシは、サイバー犯罪活動やマルウェアの通信に完全に正規に見える非常にステルス性の高いチャネルを攻撃者に提供しています。
支援インフラと国家関与の可能性
この作戦の支援インフラには、悪意あるテンプレート、ウェブシェル、Google検証文字列、配布アーティファクトをホストする38の使い捨てGitHubアカウントが含まれています。また、Slack、Amazon、Facebook、Instagram、Shopifyといった主要組織を模倣した480のドメイン類似体も確認されており、多くは2020年以降に登録され毎年更新されていることから、意図的かつ永続的な作戦であることが伺えます。このインフラに関連する51,000以上の盗まれた認証情報がダークウェブフォーラムで確認されています。
研究者たちは、ドメイン登録、ホスティング、証明書の費用だけでも年間725,000ドルから530万ドルが必要と見積もっており、これは通常のサイバー犯罪者の能力をはるかに超える財源です。14年にわたる活動期間、脆弱性悪用と日和見的な侵害を組み合わせた高度な技術、アンダーグラウンド市場での存在感、そして組織的成熟度は、従来の金銭目的のサイバー犯罪よりも国家支援型の脅威作戦の特性とより一致すると結論付けられています。