Seqrite Labs APTチームは、パキスタン関連のAPTグループTransparent Tribe(APT36)がインド政府および国防関係者を標的に「パハルガムテロ攻撃」を題材にした文書を使用していることを発見しました。この攻撃は、認証情報のフィッシングと悪意のあるペイロードの展開の両方を特徴としており、22年2025月XNUMX日の攻撃直後にジャンムー・カシミール警察とインド空軍(IAF)を装った偽のドメインが作成されました。本アドバイザリは、同様の活動を発見するために使用されたフィッシングPDFとドメイン、そして同グループの有名なCrimson RATを展開するために使用されたマクロを組み込んだ文書について警告しています。
分析
問題のPDFは24年2025月XNUMX日に作成され、作成者は「Kalu Badshah」と記載されています。このフィッシング文書の名称は、インド政府による今回の攻撃への対応策に関連しています。
- 「パハルガムテロ攻撃に関する政府の行動指針と対応.pdf」
- 「パハルガムテロ攻撃に関する報告書の最新情報.pdf」
文書の内容は隠蔽されており、文書内に埋め込まれたリンクが攻撃の主なベクトルとなっています。クリックすると、偽のログインページが表示されます。これは、個人を誘い込むためのソーシャルエンジニアリングの一環となります。埋め込まれたURLは以下の通りです。
- hxxps://jkpolice[.]gov[.]in[.]kashmirattack[.]exposed/service/home/
このドメインは、合法的なジャンムー・カシミール警察(jkpolice[.]gov[.]in(インド警察の公式ウェブサイト)だが、偽のウェブサイトではサブドメインを導入している。 kashmirattack[.]露出.
「kashmirattack」という単語が追加されたことは、今回の場合はカシミール地方における最近の攻撃に関連した、デリケートな地政学的問題との関連性を示唆しています。@gov.in または @nic.in の政府認証情報を入力すると、その情報はホストに直接送信されます。作成者名に注目すると、このようなフィッシング文書が複数確認されました。
標的をおびき寄せるための、政府や防衛関連のさまざまな会議に関連するフィッシング文書にはそれぞれ複数の名前が付けられていることが確認されており、このグループが国内で進行中の出来事をネタにいかに迅速におびき寄せメールを作成しているかがうかがえます。
- パハルガムテロ攻撃に関する報告書と最新情報.pdf
- パハルガムテロ攻撃に関する報告書の最新情報.pdf
- パハルガムテロ攻撃に関する政府の行動指針と対応.pdf
- 17年2025月XNUMX日付J&K警察書簡.pdf
- 10年2025月XNUMX日にDRDO長官が開催したRODレビュー会議.pdf
- 議論の記録 技術レビュー会議通知、07年2025月1日 (XNUMX).pdf
- 会議通知 – インドとネパール間の第13回JWG会議.pdf
- 04年2025月XNUMX日インド国防省IHQでの合弁事業会議の議題.pdf
- 3月XNUMX日付国防省統合本部向けDOレター.pdf
- 大学会議通知と行動指針 MoD 24月XNUMX日.pdf
- 26年2025月XNUMX日付ラクシャ・マントリ事務所宛の手紙.pdf
- PDFファイル
- 陸軍上級将校によるセクハラ疑惑事件.pdf
- 11月25日に開催された国防省会議の議題要点.html
- 10月25日に開催された国防省会議の行動要点.html
- 10月25日 対外関係部会議議題要旨.pdf.html
PowerPoint PPAM ドロッパー
フィッシング文書と同じ名前のPowerPointアドオンファイル 「パハルガムテロ攻撃に関する報告と最新情報.ppam」 悪意のあるマクロを含むマルウェアが確認されています。このマルウェアは、埋め込まれたファイルと、動的な名前を持つユーザープロファイル下の隠しディレクトリに抽出し、Windowsのバージョンに基づいてペイロードを判別し、最終的に同じフィッシングURLが埋め込まれたおとりファイルを開いて、Crimson RATペイロードを実行します。
最後にドロップされた Crimson RAT の内部名は「jnmxrvt hcsm.exe」で、同様の PDB 規則を使用して「WEISTT.jpg」としてドロップされました。
- C:\jnmhxrv cstm\jnmhxrv cstm\obj\Debug\jnmhxrv cstm.pdb
2025つのRATペイロードはすべて、パハルガムテロ攻撃の直前の04年21月2日にコンパイルされています。いつものように、ハードコードされたデフォルトIPアドレスはデコイとして存在し、デコード後の実際のC93.127.133アドレスは58[.]22です。システム情報とユーザー情報の取得に加え、以下のXNUMX個のコマンドによるコマンド&コントロール(C&C)をサポートしています。
| コマンド | Functionality |
| procl / getavs | すべてのプロセスのリストを取得する |
| エンドポ | PIDに基づいてプロセスを強制終了する |
| スクズ | キャプチャする画面サイズを設定する |
| cスクリーン | スクリーンショットを取得 |
| Dirs | すべてのディスクドライブを取得する |
| 停止する | スクリーンキャプチャを停止 |
| フィルス | ファイル情報(名前、作成時間、サイズ)を取得します |
| ダウン | C2からファイルをダウンロードする |
| cnls | アップロード、ダウンロード、スクリーンキャプチャを停止 |
| スクリーン | スクリーンショットを継続的に取得する |
| 親指 | 画像のサムネイルを 200×150 のサイズの GIF として取得します。 |
| 置く | 実行レジストリキーで永続性を設定する |
| udlt | C2からファイルをダウンロードして実行します。vdhairtn' 名前 |
| デルタ | ファイルを削除する |
| file | ファイルをC2に流出させる |
| info | マシン情報を取得します (コンピューター名、ユーザー名、IP、OS 名など) |
| ランフ | コマンドを実行する |
| ファイル | 追加情報を含むファイルをC2に流出させる |
| リストf | 拡張子に基づいてファイルを検索する |
| 持参金 | C2からファイルをダウンロードする(実行なし) |
| びん | ディレクトリ内のファイルのリストを取得する |
| fldr | ディレクトリ内のフォルダのリストを取得する |
インフラストラクチャとアトリビューション
ハンティングを通じて特定されたフィッシング ドメインの作成日は、ドキュメントが作成されてからわずか 1 ~ 2 日後です。
| ドメイン | 創造 | IP | ASN |
| jkpolice[.]gov[.]in[.]kashmirattack[.]exposed | 2025-04-24 | 37.221.64.134 78.40.143.189 |
AS 200019 (Alexhost Srl) AS 45839 (真珠テクノロジー) |
| iaf[.]nic[.]in[.]ministryofdefenceindia[.]org | 2025-04-16 | 37.221.64.134 | AS 200019 (Alexhost Srl) |
| メール[.]gov[.]in[.]ministryofdefenceindia[.]org | 2025-04-16 | 45.141.58.224 | AS 213373 (IP Connect Inc) |
| メール[.]gov[.]in[.]departmentofdefenceindia[.]link | 2025-02-18 | 45.141.59.167 | AS 213373 (IP Connect Inc) |
| メール[.]gov[.]in[.]departmentofdefence[.]de | 2025-04-10 | 45.141.58.224 | AS 213373 (IP Connect Inc) |
| email[.]gov[.]in[.]briefcases[.]email | 2025-04-06 | 45.141.58.224 78.40.143.98 |
AS 213373 (IP Connect Inc) AS 45839 (真珠テクノロジー) |
| email[.]gov[.]in[.]modindia[.]link | 2025-03-02 | 84.54.51.12 | AS 200019 (Alexhost Srl) |
| メール[.]gov[.]in[.]defenceindia[.]ltd | 2025-03-20 | 45.141.58.224 45.141.58.33 |
AS 213373 (IP Connect Inc) |
| メール[.]gov[.]in[.]インド防衛局[.]リンク | 2025-02-25 | 45.141.59.167 | AS 213373 (IP Connect Inc) |
| メール[.]gov[.]in[.]departmentofspace[.]info | 2025-04-20 | 45.141.58.224 | AS 213373 (IP Connect Inc) |
| メール[.]gov[.]in[.]indiangov[.]download | 2025-04-06 | 45.141.58.33 78.40.143.98 |
AS 213373 (IP Connect Inc) AS 45839 (真珠テクノロジー) |
| インド陸軍[.]インドニック[.]インド[.]国防省[.]de | 2025-04-10 | 176.65.143.215 | 215208 AS |
| インド軍[.]nic[.]in[.]ministryofdefenceindia[.]org | 2025-04-16 | 176.65.143.215 | 215208 AS |
| メール[.]gov[.]in[.]indiandefence[.]work | 2025-03-10 | 45.141.59.72 | AS 213373 (IP Connect Inc) |
| メール[.]gov[.]in[.]indiangov[.]download | 2025-04-06 | 78.40.143.98 | AS 45839 (真珠テクノロジー) |
| メール[.]gov[.]in[.]drdosurvey[.]info | 2025-03-19 | 192.64.118.76 | AS 22612 (NAMECHEAP-NET) |
この種の攻撃はハクティビズムに典型的に見られるもので、デリケートな問題や感情的な問題を悪用して混乱を引き起こしたり、政治的メッセージを拡散したりすることを目的としています。今回のケースでは、脅威アクターはカシミールをめぐる既存の緊張関係を悪用し、キャンペーンの効果を最大化し、これらの問題に関する情報を搾取しようとしています。
疑わしいドメインは、フィッシングや偽情報のインフラの一部であり、以前使われた戦術と一致している。 APT36(透明な部族) 長い歴史を持つ標的型攻撃:
- インド軍人
- 政府機関
- 防衛および研究機関
- カシミール問題に焦点をあてた活動家やジャーナリスト
初期アクセスのためのPPAMは、悪意のある実行ファイルをOLEオブジェクトとして埋め込むために長年利用されてきました。インド政府や軍事インフラを模倣した偽のURLを作成するためのドメインインパーソネーションは、昨年から継続的に確認されています。これらの攻撃では、カシミール紛争、国境紛争、軍事行動といったデリケートな話題がしばしば悪用され、スピアフィッシング攻撃キャンペーンの餌食となっています。そのため、これらの攻撃キャンペーンは、偽の文書や偽装ドメインに埋め込まれた悪意のあるリンクに隠されたCrimson RATの配信に関与したとAPT36が強く疑われています。
潜在的な影響:地政学的およびサイバーセキュリティへの影響
地政学的なテーマとサイバーセキュリティ戦略の組み合わせは、この文書がより広範な偽情報キャンペーンの一部であることを示唆しています。長年にわたる政治的・領土紛争を抱える地域であるカシミールへの言及は、攻撃者がデリケートな話題を利用して不安を煽り、分裂を生み出そうとする意図を示唆しています。
さらに、PDFファイルを悪質なリンクの配信手段として利用することは、世論に影響を与えたり、プロパガンダを拡散したり、混乱を引き起こしたりすることを目的とした、実績のある手法です。その影響は以下のように現れる可能性があります。
- 機密業務の妨害: 公務員または政府職員がこの文書に触れると、個人または組織のセキュリティが危険にさらされる可能性があります。
- 情報オペレーション: この文書により、機密文書の漏洩や虚偽情報の流布につながり、国民の間に混乱や不信が生じる可能性があります。
- スパイ活動とデータ侵害フィッシング攻撃は、最終的には機密データの盗難や標的のネットワーク内へのマルウェアの展開につながり、さらなる悪用につながる可能性があります。
クライアントの声
電子メールとドキュメントのスクリーニング: 高度な脅威保護を実装して、PDF や添付ファイルに埋め込まれた悪意のあるリンクやペイロードをスキャンします。
マクロ実行の制限: すべてのエンドポイントで、特に信頼できないソースからのマクロをデフォルトで無効にします。
ネットワークのセグメンテーションとアクセス制御: 機密性の高いシステムとデータへのアクセスを制限し、最小権限の原則を適用します。
ユーザーの認識とトレーニング: フィッシング、偽情報、地政学的操作戦術を認識するための定期的なトレーニングを実施します。
インシデント対応の準備: フィッシング、偽情報、または国家による活動の疑いがある場合に備えて、テスト済みの対応計画を確実に実施します。
脅威インテリジェンスの統合: 地政学的な脅威インテリジェンスを活用して、標的型キャンペーンを特定し、侵害の兆候 (IOC) を積極的にブロックします。
異常な動作を監視する: 動作分析を使用して、異常なアクセス パターンやデータ流出の試みを検出します。
IOC
フィッシング文書
c4fb60217e3d43eac92074c45228506a
172fff2634545cf59d59c179d139e0aa
7b08580a4f6995f645a5bf8addbefa68
1b71434e049fb8765d528ecabd722072
c4f591cad9d158e2fbb0ed6425ce3804
5f03629508f46e822cf08d7864f585d3
f5cd5f616a482645bbf8f4c51ee38958
fa2c39adbb0ca7aeab5bc5cd1ffb2f08
00cd306f7cdcfe187c561dd42ab40f33
ca27970308b2fdeaa3a8e8e53c86cd3e
フィッシングドメイン
jkpolice[.]gov[.]in[.]kashmirattack[.]exposed
iaf[.]nic[.]in[.]ministryofdefenceindia[.]org
メール[.]gov[.]in[.]ministryofdefenceindia[.]org
メール[.]gov[.]in[.]departmentofdefenceindia[.]link
メール[.]gov[.]in[.]departmentofdefence[.]de
email[.]gov[.]in[.]briefcases[.]email
email[.]gov[.]in[.]modindia[.]link
メール[.]gov[.]in[.]defenceindia[.]ltd
メール[.]gov[.]in[.]インド防衛局[.]リンク
メール[.]gov[.]in[.]departmentofspace[.]info
メール[.]gov[.]in[.]indiangov[.]download
インド陸軍[.]インドニック[.]インド[.]国防省[.]de
インド軍[.]nic[.]in[.]ministryofdefenceindia[.]org
メール[.]gov[.]in[.]indiandefence[.]work
メール[.]gov[.]in[.]indiangov[.]download
メール[.]gov[.]in[.]drdosurvey[.]info
フィッシングURL
hxxps://iaf[.]nic[.]in[.]ministryofdefenceindia[.]org/publications/default[.]htm
hxxps://jkpolice[.]gov[.]in[.]kashmiraxxack[.]exposed/service/home
hxxps://email[.]gov[.]in[.]ministryofdefenceindia[.]org/service/home/
hxxps://email[.]gov[.]in[.]departmentofdefenceindia[.]link/service/home/
hxxps://email[.]gov[.]in[.]departmentofdefence[.]de/service/home/
hxxps://email[.]gov[.]in[.]indiangov[.]download/service/home/
hxxps://indianarmy[.]nic[.]in[.]departmentofdefence[.]de/publications/publications-site-main/index[.]html
hxxps://indianarmy[.]nic[.]in[.]ministryofdefenceindia[.]org/publications/publications-site-main/index[.]htm
hxxps://email[.]gov[.]in[.]briefcases[.]email/service/home/
hxxps://email[.]gov[.]in[.]modindia[.]link/service/home/
hxxps://email[.]gov[.]in[.]defenceindia[.]ltd/service/home/
hxxps://email[.]gov[.]in[.]indiadefencedepartment[.]link/service/home/
hxxps://email[.]gov[.]in[.]departmentofspace[.]info/service/home/
hxxps://email[.]gov[.]in[.]indiandefence[.]work/service/home/
PPAM/XLAM
d946e3e94fec670f9e47aca186ecaabe
e18c4172329c32d8394ba0658d5212c2
2fde001f4c17c8613480091fa48b55a0
c1f4c9f969f955dec2465317b526b600
クリムゾンラット
026e8e7acb2f2a156f8afff64fd54066
fb64c22d37c502bde55b19688d40c803
70b8040730c62e4a52a904251fa74029
3efec6ffcbfe79f71f5410eb46f1c19e
b03211f6feccd3a62273368b52f6079d
93.127.133.58 (ポート番号: 1097、17241、19821、21817、23221、27425)
104.129.27.14 (ポート番号: 8108、16197、19867、28784、30123)
MITER ATT&CK
| 偵察 | T1598.003 | 情報フィッシング:スピアフィッシングリンク |
| リソース開発 | T1583.001 | インフラストラクチャの取得:ドメイン |
| 初期アクセス | T1566.001 | フィッシング:スピアフィッシングアタッチメント |
| 実行 | T1204.001
T1059.005 |
ユーザーの実行: 悪意のあるリンク
コマンドおよびスクリプトインタープリター:Visual Basic |
| 固執 | T1547.001 | 起動またはログオン自動起動実行:レジストリ実行キー/スタートアップフォルダ |
| プーケットの魅力 | T1033
T1057 T1082 T1083 |
システム所有者/ユーザーの発見
プロセスディスカバリー システム情報の発見 ファイルとディレクトリの検出 |
| 収集 | T1005
T1113 |
ローカルシステムからのデータ
スクリーンキャプチャ |
| exfiltration | T1041 | C2チャネルを介した浸透 |
著者:
サトウィック・ラム・プラッキ
リシャブ・カンジラル
