概要
Seqrite Labs、 インド最大のマルウェア分析ラボは、 シンドゥール作戦に関連する複数のサイバーイベントを特定しました。これらのイベントには、国家支援のAPT活動とハクティビストによる組織的な活動が関与していました。確認された戦術には、スピアフィッシング、悪意のあるスクリプトの展開、ウェブサイトの改ざん、不正なデータ漏洩などがありました。このキャンペーンは、サイバースパイ活動、ハクティビストによる妨害活動、そしてハイブリッド戦の要素を組み合わせたものでした。標的は、防衛、政府ITインフラ、医療、通信、教育など、インドの高価値セクターでした。これらの活動の一部は、パキスタンと連携した脅威グループであるAPT36とSidecopyによるものとされています。これらのグループは、偽装ドメイン、マルウェアペイロード、そして認証情報収集技術を駆使してインド軍や政府機関を狙うことで知られています。
トリガーポイント:初期アクセスベクトル
On 2025 年 4 月 17 日インドのサイバーテレメトリが活発化し始めた。脅威検知の分野全体で、政府のメールサーバーや防衛インフラを狙った異常が見られた。ルアーファイルには、緊急性と正当性を装った名前が付けられていた。
- xlam
- パム
- pptx.lnk
これらは普通のファイルではありませんでした。精密誘導攻撃でした。 マクロ, ショートカット, スクリプト 秘密のコマンドアンドコントロール(C2)通信とマルウェアの展開を引き起こした。それぞれの罠は国民の恐怖と国家の悲劇を煽り、最近のニュースの見出しを武器にした。 パハルガムテロ攻撃技術的な詳細については以下をご覧ください。
7月XNUMX日のシンドゥール作戦の開始後、組織的な改ざん、データ漏洩、破壊的なサイバーキャンペーンなど、ハクティビスト活動の急増が観測されました。
活動タイムライングラフ – シンドゥール作戦
APT36:デジタルプレデターの進化
Crimson RATとソーシャルエンジニアリングの使用で長らく知られていたAPT36は進化を遂げ、かつてのPoseidonローダーは姿を消した。アレス モジュール式の回避型マルウェアフレームワークが新たな先鋒を形成した。
ツールとファイルの種類:
- .ppam、.xlam、.lnk、.xlsb、.msi
- Web クエリをトリガーするマクロ:
fogomyart[.]com/random.php - 偽装されたインドの組織を介したペイロード配信:
zohidsindia[.]com、nationaldefensecollege[.]com、nationaldefencebackup[.]xyz - コールバックC2 IP: 167.86.97[.]58:17854(クリムゾンRAT C2)。
APT36は、Operation Sindoorにおいて、ステルス感染、持続性確保、そしてコマンド&コントロール(C&C)のために高度なTTP(戦術・技術・手順)を用いていました。最初のアクセスは、悪意のあるファイルタイプ(.ppam、.xlam、.lnk、.xlsb、.msi)を使用したスピアフィッシング添付ファイル(T1566.001)を介して行われました。これらのマクロは、fogomyart[.]comなどのドメインに対してWebクエリ(T1059.005)を実行しました。ペイロードは、zohidsindia[.]comやnationaldefensecollege[.]comなどの偽装されたインドのドメインを介して配信され、アプリケーション層プロトコル(T2)を介して1071.001[.]167.86.97:58へのC17854通信が行われました。 APT36 は実行と持続性のために、LOLBin (T1218)、スケジュールされたタスク (T1053.005)、UAC バイパス (T1548.002)、難読化された PowerShell スクリプト (T1059.001、T1027) を活用し、検出を回避しながら長時間のアクセスを可能にしました。
Ares RAT は、侵害を受けたホストに対する完全な制御を許可し、キーロギング、画面キャプチャ、ファイル操作、資格情報の盗難、リモート コマンド実行などの機能を提供します。商用 RAT に似ていますが、ステルス性と回避のためにカスタマイズされています。
デジタルインフラ:欺瞞の領域
この作戦のドメイン兵器は秘密諜報作戦に似ていた。
- pahalgamattack[.]com
- operationsindoor2025[.]in
- sindoor[.]ウェブサイト
- シンドゥール[.]ライブ
これらのドメインは軍隊や政府機関を模倣し、ユーザーの信頼を悪用し、地政学的な物語をソーシャルエンジニアリングに利用していました。
ハクティビズムの連携:シャドー・バタリオン
APT36は単独で行動したわけではない。並行して、 ハクティビスト集団 組織的な破壊的攻撃—DDoS攻撃, 汚損, データ漏洩インドの主要セクター全体で。Telegramグループは、#OpIndia、#OperationSindoor、#PahalgamAttackといったハッシュタグで行動を同期させ、以下の画像に示されています。
最も標的となるセクター:
シンドゥール作戦は、インドの重要セクターを戦略的に標的とし、 防衛 国防省、陸軍、海軍、DRDOなどの組織を妨害したと主張した。 政府のITインフラNICとGSTNを含む、DDoSとデータ漏洩の証拠を持ち、侵入を試みた。 ヘルスケア AIIMS や DRDO 病院などの機関。 通信大手 JioやBSNLなどの複数の 州レベルの教育および政府ポータルサイバー攻撃の広範さと連携を示すものとなった。
キャンペーン後の脅威の状況
5月7-10Seqriteテレメトリは次のように報告しました:
- 650件以上のDDoS/改ざんイベントが確認されました
- 35以上のハクティビストグループが関与、7人が新たに出現
- 26個のカスタム検出シグネチャ XDR全体に展開
検出シグネチャ:
| 署名名 | 詳細説明 |
| BAT.サイドコピー.49534.GC | SideCopy ローダースクリプト |
| LNK.サイドコピー.49535.GC | マクロ対応ショートカット |
| MSI.トロイの木馬.49537.GC | MSIベースのトロイの木馬ドロッパー |
| HTML.Trojan.49539.GC | HTML認証情報フィッシング |
| Bat.downloader.49517 | RAT用ユーティリティをダウンロード |
| テキスト.暗号化.サイドコピー.49538.GC | 難読化されたローダー |
IOC:侵害の兆候
悪意のあるドメイン:
- pahalgamattack[.]com
- シンドゥール[.]ライブ
- operationsindoor2025[.]in
- nationaldefensecollege[.]com
- fogomyart[.]com/random.php
悪意のあるファイル:
- xlam
- パム
- pptx.lnk
- PDFファイル
コールバックIP:
- 167.86.97[.]58:17854(クリムゾンRAT C2)
VPS トラフィック発信元:
- ロシア🇷🇺
- ドイツ🇩🇪
- インドネシア🇮🇩
- シンガポール🇸🇬
混沌のマインドマップ:協調的な混乱
Seqriteの回答
この作戦に対抗するため、Seqrite Labs は以下を展開しました。
- 26の検出ルール 製品ライン全体
- YARA署名 STIP/MISPへの相関
- XDR全体のアラート SideCopyおよびAresバリアント用
- ダークウェブとTelegramの監視
- 脅威に関する勧告の発信 インドの団体へ
研究者の反省
シンドゥール作戦 現代のサイバー戦争の青写真が明らかになった。国家主体が今や 非国家ハクティビストと協力する、合併 技術的侵入 心理操作APT36の進化、特にポセイドンからアレスへの移行と、同時に発生したハクティビストによる攻撃は、意図的な サイバースパイ活動とイデオロギー戦争の融合.
孤立したマルウェア攻撃の代わりに、私たちは今、 デジタル調整された戦争ゲームツールはマクロ、MSIファイル、DDoSスクリプトなど変化するかもしれませんが、目的は変わりません。 不安定化、偽情報、混乱を引き起こす.
結論
シンドゥール作戦は、インドとパキスタン間のサイバー紛争における重大なエスカレーションを象徴するものです。APT36と同盟関係にあるハクティビスト集団によって組織されたこの作戦は、高度なマルウェア、偽装されたインフラ、そして欺瞞的なソーシャルエンジニアリングを巧みに組み合わせて、インドの主要セクターに侵入しました。
防衛、政府IT、医療、教育、通信セクターを戦略的に標的とした攻撃は、情報収集だけでなく国家の活動を妨害しようとする意図を浮き彫りにしています。Ares RATなどのツールを使用することで、攻撃者は感染システムへの完全なリモートアクセスを獲得し、監視、データ窃取、そして重要なサービスへの潜在的な妨害行為を可能にしました。
影響の観点から見ると、この操作には次のような効果があります。
- 信頼の喪失 信頼できるインドのドメインを偽装して公式デジタル通信に侵入する。
- 運用リスクの増大 インフラストラクチャの弱点を明らかにすることで、機密性の高い部門を保護します。
- 国民の認識の低下 政府と防衛におけるサイバーセキュリティの準備状況。
- 地政学的緊張の高まり サイバー手段を使って影響力を行使し、不安定さを煽る。
その このキャンペーンが国家のサイバーセキュリティと信頼に与える影響 重要であった:
- データ漏洩: 重要な組織から機密性の高い内部文書、認証情報、ユーザー情報が流出しました。これにより、運用上のセキュリティと戦略的意思決定が損なわれ、さらなる侵入の経路が開かれます。
- DDoS攻撃: 標的型サービス拒否攻撃により、重要な政府サービスおよび一般向けサービスの可用性が損なわれ、地政学的に敏感な時期に内部ワークフローと国民のアクセスの両方に影響が及んだ。
- ウェブサイトの改ざんインド政府や機関のウェブサイトがいくつか改ざんされ、国民の信頼を損ない、影響力とサイバー上の優位性を誇示するための心理戦戦術として利用された。
これらの展開は、進化するハイブリッド脅威に対抗するために、強化された脅威インテリジェンス機能、堅牢なインシデント対応フレームワーク、戦略的な官民連携の緊急の必要性を浮き彫りにしています。
