「ハニートラップ」作戦：APT36がインドの防衛機関を標的に

製品概要

過去3ヶ月間、パキスタンと関連のあるサイバー脅威アクターであるAPT36の活動が活発化していることが確認されています。今回の標的は、インドの防衛機関およびその他の政府機関に所属する職員です。

最近の一連の攻撃において、APT36はハニートラップという手法を用いて標的を誘い込んでいます。この「ハニートラップ」攻撃では、魅力的な女性の偽プロフィールを使って標的を誘導し、メールを開かせたり、メッセージングプラットフォームでチャットさせたりすることで、最終的にダウンロードへと誘導します。 マルウェア.

現在のテーマ攻撃で見つかった添付ファイル名の一部:

標的のユーザーがこのような添付ファイルを開くと、MSILベースのCrimson RATがドロップされます。これはAPT36が過去の多くの攻撃で使用してきたものです。このRATは、データを窃取し、CnCサーバーに送信するために使用されます。

「ハニートラップ」作戦

インド軍は、「ハニートラップ」事件を、国境を越えて敵が仕掛けるハイブリッド戦争の武器だと表現している。APT36も現在、同じ手法を用いて標的を誘い出している。

キャンペーン概要

このキャンペーンは、36つの異なる感染チェーンを継続的に使用しています。APTXNUMXのこのXNUMXつの感染手法は、過去数年間、同じままです。

最初のチェーンでは、スピアフィッシングメールにマクロが埋め込まれたドキュメントが添付されています。このドキュメントは、Crimson RATツールを起動して悪意のあるアクティビティを実行するドロッパーモジュールを実行する役割を担っています。

2つ目のチェーンでは、スピアフィッシングメールの添付ファイルに、zipファイル内に直接ドロッパーモジュールが含まれています。このドロッパーコンポーネントは、被害者向けのおとり文書を開き、バックグラウンドでCrimson RATツールを実行して悪意のあるアクティビティを実行します。

2つ目の感染経路は、組織内ではそれほど効果的ではありません。なぜなら、組織内のファイアウォールは通常、メール内の「EXE」ファイルタイプをブロックするからです。これが主な理由であり、この攻撃はインドの防衛産業に関係する個人のアカウントを標的にしています。

クリムゾンラット

クリムゾンラット APT36グループにとって、依然として人気の高い攻撃ツールです。先月、APT36による別の攻撃の詳細を公開しましたが、マルウェアの動作は変わりません。

このRATの行動の要約-

• プロセス：
  • プロセスの一覧表示
  • プロセスを強制終了する
  • コマンドを実行する
• ファイル：
  • ドライブ、ファイル、ディレクトリのトラバーサル
  • ファイルを削除する
  • ファイルを実行する
  • ファイル拡張子を検索する
  • メタデータ抽出
• キャプチャ画面：
  • 単一および連続スクリーンショット
  • サムネイル、画面サイズを取得
• データの引き出し:
  • C2からダウンロード
  • C2にアップロード

ここでは、crimson RAT コードの機能実装をいくつか示します。

 

結論

APT36が防衛関連やその他の重要セクターの組織を標的としていることは周知の事実です。通常、彼らの標的は、インドの西隣国にとって戦略的に重要な個人や組織です。しかし、今回の攻撃では興味深いことに、標的となった組織の一部はインド東部の州に拠点を置く組織に属していました。過去36年間で、APTXNUMXがインドの東隣国にとって重要な組織を標的とした事例はこれでXNUMX件目となります。

 

ハニートラップ キャンペーンに関連する IOC:

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