国家が支援するハッカー集団「サイドワインダー」の秘密攻撃インフラを解明

サイバーセキュリティ企業Group-IBとBridewellの共同レポートにより、国家支援グループSideWinderがパキスタンと中国の事業体をターゲットに使用した、これまで文書化されていなかった攻撃インフラが明らかになりました。研究者は、脅威の主体が利用する55のドメインとIPアドレスのネットワークを特定しました。

発見されたフィッシング・ドメインは、ニュース、政府、通信、金融などの分野の組織を模倣しており、SideWinderが選択した標的が多様であることを物語っています。SideWinderは、少なくとも2012年から活動を開始し、ターゲットとなる環境にアクセスするための侵入方法として、主にスピアフィッシングを採用しています。

SideWinderの標的は、インドのスパイ活動に関連していると考えられ、パキスタン、中国、スリランカ、アフガニスタン、バングラデシュ、ミャンマー、フィリピン、カタール、シンガポールなどの国々で頻繁に攻撃が確認されています。

今年初め、Group-IBは、SideWinderが2021年6月から11月にかけて、政府、軍、法執行機関を含むアジア全域の61の組織を標的とした可能性があると報告しました。

最近の観察によると、SideWinderはパキスタンの政府組織を標的とした攻撃において、回避手法であるサーバーベースのポリモーフィズムを採用していることが示唆されています。

新たに発見されたドメインは、パキスタン、中国、インドの政府組織を模倣しており、WHOISレコードや登録情報において共通の値を有しています。これらのドメインの中には、政府をテーマにしたルアー文書をホストし、未知の次段階のペイロードをダウンロードするように設計されているものがあります。

分析の結果、これらの文書の多くはパキスタンからアップロードされたものであり、パキスタン海軍大学（PNWC）を名乗るMicrosoft Wordファイルも含まれていることが判明しました。さらに、北京からアップロードされたWindowsショートカット（LNK）ファイルは、清華大学のメールシステムになりすましたサーバーから取得したHTMLアプリケーション（HTA）ファイルを実行していたことが判明しました。また、カトマンズからアップロードされた別のLNKファイルは、同様の方法でネパール政府のウェブサイトを装ったドメインからHTAファイルを取得していました。

さらに調査を進めると、スリランカからアップロードされた、"Ludo Game "を装った悪質なAndroid APKファイルが発見されました。このアプリは、連絡先、位置情報、電話ログ、SMSメッセージ、カレンダーへのアクセスを要求し、事実上、機密情報を採取するスパイウェアとして機能します。Group-IBは、このアプリと、同社が2022年6月に以前に公開した、AntiBotと呼ばれるトラフィック指示システムを使用してパキスタンのターゲットに配布された偽のSecure VPNアプリとの類似性を指摘しています。

特定されたドメインは、SideWinderがパキスタンと中国の金融機関、政府機関、法執行機関、電子商取引企業、マスメディアをターゲットにしていることを示しています。

SideWinderが標的型スピアフィッシングに依存していることから、研究者は、悪意のあるコンテンツを検出して無効化することができるビジネスメール保護ソリューションを導入することの重要性を強調しています。

---

私について:
東京を拠点にサイバーセキュリティの実践スペシャリストとして活動しています。私の日本語は完璧ではありませんが、あなたと快適に話すことができます。ここで私を見つけることができます -
LinkedIn - https://www.linkedin.com/in/arpitjain099/
GitHub - https://github.com/arpitjain099

私はこのブログを情熱的なプロジェクトとして運営しています。コーヒーを買うことで、私の仕事をサポートすることができます - https://www.buymeacoffee.com/arpitjain099