Zscalerは11月3日(米国時間)、「APT-36 Uses New TTPs and New Tools to Target Indian Governmental Organizations|Zscaler」において、インド政府職員を標的とするサイバー犯罪者グループの脅威について伝えた。パキスタンに関係するといわれている持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「APT-36」(Transparent Tribeとも呼ばれる)がキャンペーンを展開していると報告している。
Zscalerの追跡調査により、これまで文書化されていなかったAPT-36による攻撃チェーンが明らかになった。主な調査結果は次のとおり。
- パキスタンを拠点とする高度持続的脅威グループであり、特にインド政府関連組織の従業員を標的にしている
- マルバタイジングやクレデンシャルフィッシング攻撃など、さまざまな手法を用い、2022年を通して活動を続けている
- 新しい配布方法とツールを取り入れ、戦術、技術、手順(TTPs: actics, Techniques, and Procedures)を進化させている
- 「Kavach」というアプリの公式ダウンロードページを装ったWebサイトをホストする複数の新しいドメインを登録した
- Google Adsの有料検索機能を悪用して、ユーザーを標的に悪意のあるドメインをGoogle検索結果の上位に押し上げた
- 2022年8月より「Limepadと」名付けられた新たなデータ流出ツールの使用を開始した
- ほとんどのバイナリはユーザーのマシンがインドのタイムゾーンに設定されている時のみ実行される。インドとスリランカの両方のタイムゾーンをチェックするバイナリも2つ発見されている
- インド政府職員の認証情報を盗む目的でクレデンシャル ハーベスティング攻撃が実行された
- 悪意のあるバイナリがVHDXアーカイブにパッケージされて送信された
APT-36のようにサイバー犯罪者グループはさまざまな戦術を駆使してユーザーを誘い込もうとする。アプリケーションをダウンロードする際は注意を払い、必ず公式ソースからのみアプリケーションをダウンロードするよう心がけることが肝心とされている。