Facebook が摘発した南アジアのサイバー・ギャングたち:騙しのテクニックを分析

Meta Cracks Down on Cyber Espionage Operations in South Asia Abusing Facebook

2022/08/08 TheHackerNews — Facebook の親会社である Meta は、同社の SNS を利用してマルウェアを配布していた、南アジアにおける2つのスパイ活動への対策を講じたことを発表した。1つ目のアクティビティは、ニュージーランド/インド/パキスタン/イギリスの個人を標的とした、ハッキング・グループ Bitter APT (別名 APT-C-08/T-APT-17) により実施されたものだ。Meta は、この活動について、十分な持続性とリソースを持つと表現している。

Meta は Adversarial Threat Report で、「Bitter APT は、オンライン上の人々をソーシャル・エンジニアリング攻撃の標的にし、彼らのデバイスをマルウェアに感染させるために、さまざまな悪質な手口を使用していた。マルウェアの配布は、リンク短縮サービス/悪意のドメイン/危険な Web サイト/サードパーティのホスティング・プロバイダなどの、複数の手法を混合して行われていた」と説明している。

この攻撃では、脅威者が SNS 上で架空の人物像を作り、魅力的な若い女性になりすまし、ターゲットとの信頼関係を構築し、マルウェアを展開する偽のリンクをクリックさせるように誘導していた。


興味深いのは、攻撃者が、Apple TestFlight (アプリのベータ・テスト/アプリ開発者へのフィードバックのための、正規のオンラインサービス) を通じて、iOS チャットアプリをダウンロードするように、ターゲットを誘導していたことだ。

研究者たちは、「このため、脅威アクターは、マルウェアをターゲットに配信するために、エクスプロイトに頼る必要はない。より合法的に見えるように、Apple Testflight をダウンロードするように仕向けて、チャットアプリをインストールさせさえすれば、Apple の公式サービスを利用してアプリを配布できた」と述べている。

このアプリの正確な機能は不明だが、ソーシャル・エンジニアリングの手口として、このキャンペーンのための特別なチャットを通じて、ターゲットを監視するために使用されたと推測されている。

さらに、Bitter APT のオペレーターは、これまで文書化されていなかった Android 向けマルウェア Dracarys を使用していた。このマルウェアは、感染したデバイスの OS のアクセス権限を悪用して、任意のアプリのインストール/音声の録音/写真のキャプチャなどを行い、通話ログ/連絡先/ファイル/テキストメッセージ/位置情報/デバイスなどの機密データを窃取していた。

この Dracarys は、YouTube/Signal/Telegram/WhatsApp を装った、トロイの木馬化ドロッパー・アプリを通じて配信されていた。つまり、攻撃者が正規のソフトウェアを装い、モバイル・デバイスに侵入してマルウェアを展開するという傾向が、ますます強まっていることになる。

さらに、攻撃者の適応力が高まっている兆候として、チャット・スレッドにブロークン・リンクや悪意のリンクのイメージを投稿し、ブラウザ上で受信者にリンクをタイプさせることで、検知/ブロックに対抗していると、Meta は指摘している。

Bitter の実態は謎めいており、特定の国との関係を結びつけるような指標はあまりない。彼らは南アジアで活動しており、最近では、バングラデシュの軍事組織を攻撃するために、アクティビティを拡大していると考えられている。

マルウェア LazaSpy で各国政府を狙う Transparent Tribe

Meta が対処した2つ目のスパイ集団は、Transparent Tribe (別名 APT36) だ。彼らはパキスタンを拠点とし、インドやアフガニスタンの政府機関を標的として悪意のカスタム・ツールを用いる、実績のある APT だとされている。2022年7月の Cisco Talos による発表は、インドの各種教育機関の学生を標的としたフィッシング・キャンペーンは APT36 の仕業だとしている。

Transparent Tribe の攻撃は、一般ユーザーを標的とする、典型的なパターンと異なっている。最近の攻撃では、アフガニスタン/インド/パキスタン/サウジアラビア/アラブ首長国連邦の、軍隊/政府/人権団体/非営利団体の職員や学生などが標的にされており、あらゆる分野のターゲットが混在していることが示唆される。

正規および偽企業の採用担当者や、軍人、そして恋愛をちらつかせる魅力的な若い女性などの偽のペルソナを使って、ターゲットたちはソーシャル・エンジニアリング攻撃を仕掛けられ、最終的にはマルウェアをホストするリンクを開くよう誘惑されていた。

ダウンロードされたファイルには、XploitSPY というオープンソースの Android 監視ソフトウェアを改変した、マルウェア LazaSpy が含まれていた。さらに、非公式の WhatsApp/WeChat/YouTube クローン・アプリを利用して、Mobzsar (別名 CapraSpy) という、別のマルウェアも配布されていた。

どちらのマルウェアも、通話履歴/連絡先/ファイル/テキストメッセージ/位置情報/デバイス情報/写真などの情報収集の機能に加えて、デバイスのマイクを有効にすることで、効果的な監視ツールとなるものだ。

研究者たちは、「この脅威アクターを分析すると、洗練度の低いグループは、高度な攻撃のための開発/購入に投資するのではなく、一般に入手可能な悪意のツールへの依存を選択するという、世界的な傾向が見えてくる。これらの、低価格でベーシックなツールは、展開に必要とされる専門知識への要求が少ないため、攻撃者に対して利益がもたらさせる。参入障壁が低くなるにつれ、ハッキングや監視能力へのアクセスがコモディティ化されていくだろう」と述べている。

この Bitter と Transparent Tribe ですが、コストを掛けずに人々を騙し、目的を達成していくという手口に共通点がありますね。また、何らかの社会的な影響力を持つ人々を狙っているという点も似ています。フィッシング関連の記事としては、3月24日の「Phishing Kit を解説:検出を回避する手口と延命のための悪知恵とは?」や、8月1日の「フィッシングの分析:最も多く偽装されたブランドは1位 Microsoft/2位 Facebook」は、なかなか興味深い内容となっています。よろしければ、ご参照ください。

%d bloggers like this: