APTは、国の安全保障会議に潜入していると非難されている。
By Charlie Osborne for Zero Day|2021年7月1日 -- 10:00 GMT(18:00 SGT)|トピック セキュリティ
中国語を話すハッキンググループが、アフガニスタン政府の大統領になりすまして、継続的にサイバー攻撃を行っています。
チェック・ポイント・リサーチ社(CPR)は1日、アフガニスタンのアシュラフ・ガーニ大統領を代表とする大統領府が、同国の政府機関への侵入を目的としたスピアフィッシングメールの誘い文句として利用されており、そのうち攻撃が成功してアフガニスタン国家安全保障会議(NSC)が危険にさらされていると発表しました。
IndigoZebraと呼ばれるAPT(Advanced Persistent Threat)グループが関与していると考えられています。中国語を話すこのサイバー攻撃者は、カスペルスキーが指摘するように、以前にも旧ソ連共和国を標的にしたことがあります。
サイバーセキュリティ企業が確認したデュープメールのサンプルは、大統領府からのものを装い、近日中に行われる記者会見に関連する文書の修正点を緊急に確認するよう求めています。研究者によると、これらのメールは、過去の高名な被害者の侵害されたメール受信箱から送信されているとのことです。
このファイルは、「NSC Press conference.rar」という名前の、パスワードで保護された.RARアーカイブです。犠牲者がこのファイルを開くと、Windowsの実行ファイル(NSC Press conference.exe)を受け取ります。この実行ファイルには、マルウェアドロッパーと、レジストリキーを設定することで持続性を保つバックドア「xCaon」が展開されます。
このバックドアは、ファイルのダウンロードやアップロード、コマンド&コントロール(C2)サーバーを介して発行されたコマンドの実行、データの窃取などが可能です。
CPR社が「BoxCaon」と名付けたこのバックドアの最新バージョンでは、DropboxがC2サーバーの形態として悪用されています。
CPR社は、DropboxのAPIを利用することで、「異常なWebサイトとの通信が行われないため、悪意のある活動が隠蔽される」としています。
CPR社は、DropboxのAPIを使用することで、"異常なウェブサイトへの通信が行われないため、彼らの悪意ある活動を隠蔽することができる "としています。
IndigoZebraは、中国の別のAPTであるAPT10/Stone Pandaが採用しているNetBIOSスキャナーツールも導入する予定であり、さらなる標的を求めて偵察のためにネットワークユーティリティーツールを悪意を持って実行する可能性があります。
このグループが利用しているマルウェアには、Meterpreter、Poison Ivy、xDown、xCaonバックドアなどがあります。
CPR社によると、このAPTは、2014年にキルギスとウズベキスタンの政治団体を標的とした攻撃にも関与している可能性があるとのことです。
"研究者は、「IndigoZebraは、当初、ウズベキスタンやキルギスなどの旧ソ連共和国を標的にしていましたが、現在では、そのキャンペーンが縮小するどころか、逆に、新しいツールセットを使って、この地域の新しい標的に拡大していることが確認されています」とコメントしています。