記事本文(要約)
パキスタンと関連のある脅威アクターが、インドの鉄道、石油・ガス、外務省などの分野を標的に、Xeno RAT、Spark RAT、CurlBack RATなどのリモートアクセス型トロイの木馬を使用していることが確認されました。この活動は2024年12月にSEQRITEによって検出されました。
このグループは、攻撃手法をHTMLアプリケーション(HTA)ファイルからマイクロソフトインストーラーパッケージ(MSI)に移行するなど、技術を進化させています。さらに、SideCopyというサブグループが活動しており、特にWindowsシステムを標的に新たなペイロードを増やしています。
攻撃は、Action RATやReverseRATなど既知のマルウェアを使用しており、新たに開発されたWindowsベースのCurlBack RATも確認されています。このRATは、システム情報の収集、ファイルのダウンロード、コマンド実行などが可能です。また、メールによるフィッシングを通じて、サイバー攻撃を行っています。
これにより、ハッキンググループがWindowsおよびLinuxシステムを標的にする能力を持っていることが示されており、持続性と検出回避の能力を向上させていることが明らかになりました。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 14 Apr 2025 12:25:00 +0530
Original URL: https://thehackernews.com/2025/04/pakistan-linked-hackers-expand-targets.html
詳細な技術情報
- 脆弱性の仕組み
- この攻撃キャンペーンは、以下のような複数のメカニズムを用いています。
- 1. HTML Application (HTA)ファイルからMicrosoft Installer (MSI)パッケージへの移行: これは、ペイロードの配信や初期段階の侵入に用いられる方法です。
- 2. DLLサイドローディングとリフレクティブライティング**: この手法では、信頼されているアプリケーションに偽装したマルウェアをロードすることで、マルウェアが検知されにくくされています。
- この攻撃キャンペーンは、以下のような複数のメカニズムを用いています。
- 攻撃手法
- 1. メールベースのフィッシング: 感染はメールを介して行われ、鉄道スタッフの休日リストや企業のサイバーセキュリティガイドラインなどを装ったドキュメントが添付されています。
- 2. カスタマイズされたオープンソースツールの使用: Xeno RATやSpark RATのカスタムバージョンが使われています。
- 3. 偽のドメインを利用した資格情報フィッシング: フィッシングサイトによるユーザーの認証情報の奪取。
- 潜在的な影響
- 情報漏洩: 攻撃者はFirefoxやChromiumに基づくブラウザのデータを盗むことができ、特定のアカウントデータやクッキー情報が漏洩する可能性があります。
- システムへの完全なアクセス: RATにより攻撃者はターゲットシステム上で任意のコマンドを実行できます。これはシステム内の情報を改ざんしたり、追加のマルウェアをダウンロードしたりするために使用される可能性があります。
- データの搾取: USBデバイスからのデータの搾取や、システム情報の収集が行われる恐れがあります。
- 推奨される対策
- 1. フィッシング対策の強化:
- 職場でのメールフィルタリングの向上と、従業員へのフィッシング訓練の実施。
- 不審なURLを含むメールに対する注意を促す。
- 2. ソフトウェアの更新とパッチ適用: 定期的なシステムとアプリケーションの更新を行い、既知の脆弱性を修正する。
- 3. ネットワークセキュリティの強化:IDS/IPS(侵入検知・防止システム)の導入により、不正な通信や異常な動作を検出する。
- 4. ブラウザのセキュリティ強化:企業は従業員が使用するブラウザのセキュリティ設定を強化し、第三者によるデータアクセスを制限する。
- 5. 行動監視とログの分析: システムログやネットワークトラフィックの監視により、不正なアクティビティを早期に検出し対応する。
- 1. フィッシング対策の強化:
