未確認だった国家支援型ハッカーが南アジアの通信事業者に侵入していることが発覚

news

これまで知られていなかった国家支援型攻撃者が、南アジアの通信事業者やIT企業を標的とした攻撃において斬新なツールセットを展開していることがわかりました。

Harvester: Nation-State-Backed Group Uses New Toolset to Target Victims in South Asia
Previously unseen attack group targets victims in the IT, telecoms, and government sectors in espionage campaign.

これまで未確認だった攻撃グループが、IT、通信、政府機関の被害者を対象にスパイ活動を展開している様子

シマンテックの研究者によりHarvesterとして追跡されている、このグループの目的はIT、通信、政府機関に焦点を当てた高度に標的化されたスパイ活動で情報を収集することのようです。

Harvesterが使用している悪意のあるツールはこれまでに出回ったことがなく、既知の敵とのつながりがない脅威グループであることを示しています。

ツールの機能、カスタム開発、標的とされた被害者、これらすべてがHarvesterが国家支援型グループであることを示唆しています。

以下は、Harvesterのオペレーターが攻撃に使用したツールの概要となっています

  • Backdoor.Graphon – C&C活動にMicrosoftのインフラを使用するカスタムバックドア。
  • Custom Downloader – C&CアクティビティにMicrosoftのインフラを使用するカスタムダウンローダ。
  • Custom Screenshotter – 定期的にスクリーンショットをファイルに記録
  • Cobalt Strike Beacon – C&CアクティビティにCloudFrontインフラストラクチャを使用(Cobalt Strikeは、コマンドの実行、他のプロセスへの注入、現在のプロセスの昇格、他のプロセスへの偽装、ファイルのアップロードとダウンロードに使用できる市販のツールです
  • Metasploit – 既製のモジュール式フレームワークで、被害者のマシン上で様々な悪意のある目的に使用することができます。このフレームワークには、特権の昇格、画面のキャプチャ、永続的なバックドアの設定などが含まれます。

シマンテック社のアナリストは、最初の感染経路を解明できませんでしたが、その目的のために悪意のあるURLが使用されていた証拠を確認しています。

特徴的なところはカスタムダウンローダの動作方法にあり、システム上に必要なファイルを作成し、新しいロードポイント用のレジストリ値を追加し、最終的にhxxps://usedust[.]comで埋め込みWebブラウザを開きます。

これは、Backdoor.Graphonが取得されるポイントのように見えますが、行為者は混乱を招くためにこのURLをおとりとして使用しているだけのようです

スクリーンショットツールは、デスクトップから写真をキャプチャし、パスワードで保護されたZIPアーカイブに保存し、Graphonを通じて流出させます。

ZIPは1週間保存されるため、これより古いものは自動削除されます。

Symantec社は、Harvesterは現在も活動を続けており、主にアフガニスタンの組織を狙っていると警告しています。

Comments

タイトルとURLをコピーしました