Zscalerは11月3日(米国時間)、「APT-36 Uses New TTPs and New Tools to Target Indian Governmental Organizations|Zscaler」において、インド政府職員を標的とするサイバー犯罪者グループの脅威について伝えた。パキスタンに関係するといわれている持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「APT-36」(Transparent Tribeとも呼ばれる)がキャンペーンを展開していると報告している。

  • APT-36 Uses New TTPs and New Tools to Target Indian Governmental Organizations|Zscaler

    APT-36 Uses New TTPs and New Tools to Target Indian Governmental Organizations|Zscaler

Zscalerの追跡調査により、これまで文書化されていなかったAPT-36による攻撃チェーンが明らかになった。主な調査結果は次のとおり。

  • パキスタンを拠点とする高度持続的脅威グループであり、特にインド政府関連組織の従業員を標的にしている
  • マルバタイジングやクレデンシャルフィッシング攻撃など、さまざまな手法を用い、2022年を通して活動を続けている
  • 新しい配布方法とツールを取り入れ、戦術、技術、手順(TTPs: actics, Techniques, and Procedures)を進化させている
  • 「Kavach」というアプリの公式ダウンロードページを装ったWebサイトをホストする複数の新しいドメインを登録した
  • Google Adsの有料検索機能を悪用して、ユーザーを標的に悪意のあるドメインをGoogle検索結果の上位に押し上げた
  • 2022年8月より「Limepadと」名付けられた新たなデータ流出ツールの使用を開始した
  • ほとんどのバイナリはユーザーのマシンがインドのタイムゾーンに設定されている時のみ実行される。インドとスリランカの両方のタイムゾーンをチェックするバイナリも2つ発見されている
  • インド政府職員の認証情報を盗む目的でクレデンシャル ハーベスティング攻撃が実行された
  • 悪意のあるバイナリがVHDXアーカイブにパッケージされて送信された
  • Malvertising campaign used to distribute backdoored Kavach MFA apps|Zscaler

    Malvertising campaign used to distribute backdoored Kavach MFA apps|Zscaler

APT-36のようにサイバー犯罪者グループはさまざまな戦術を駆使してユーザーを誘い込もうとする。アプリケーションをダウンロードする際は注意を払い、必ず公式ソースからのみアプリケーションをダウンロードするよう心がけることが肝心とされている。