Source: https://www.darkreading.com/cyberattacks-data-breaches/mysterious-elephant-recycled-malware
🛡 概要
サイバー諜報グループ「ミステリアス・エレファント」が、他のハッキング集団からのマルウェアコードを利用していた初期段階から独自の高度なツールを駆使する脅威オペレーションへと進化しました。このグループは南アジアの政府機関や外交団体をターゲットにし、敏感なデータを盗むために独自のマルウェアと新しい技術を展開しています。Kasperskyの研究者によると、今年の初めからこのキャンペーンが始まり、攻撃者はWhatsApp通信からの文書、画像、ファイルを盗むことに焦点を当てています。
🔍 技術詳細
「ミステリアス・エレファント」は、パキスタン、バングラデシュ、スリランカを含む地域で特定の組織を狙ったスピアフィッシングメールを使用しています。彼らは、開かれると感染チェーンを引き起こすデコイ文書を含むカスタマイズされたメールを送り、初期アクセスを確保します。その後、合法的なツールを利用してPowerShellスクリプトをロードし、コマンド&コントロールサーバーと接続します。ここから、Kasperskyが「BabShell」と名付けたC++リバースシェルを展開し、システム情報を収集し、攻撃者が選択したコマンドを実行可能にします。また、メモリ内で直接実行される反射PEローダーや、WhatsAppからのデータを盗むためのモジュールも使用されています。
⚠ 影響
「ミステリアス・エレファント」は、アジア太平洋地域における政府機関や外交部門に対して重大な脅威をもたらしています。彼らの攻撃は、特定のターゲットに対して高い特異性を持ち、ビジネスや公式なコミュニケーションに広く使用されているWhatsAppを通じて敏感なデータを狙っています。このグループの活動は、地域内の他のAPTグループの増加と相まって、サイバーセキュリティの脅威を一層悪化させています。
🛠 対策
Kasperskyが指摘するように、こうした脅威に対抗するためには、多層的な防御戦略が不可欠です。具体的には、脅威インテリジェンスを活用し、特定の脅威アクターの戦術、技術、手順を理解し、防御することが重要です。また、最新のセキュリティパッチを適用し、定期的なセキュリティ監査を実施することで、リスクを軽減することが可能です。
