日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
ホームページ斬新なスパイ集団が通信事業を「精度」で狙う
これまで知られていなかった攻撃者が、近年複数の国の通信組織を襲ったサイバースパイ活動と同様のサイバースパイ活動で、中東の通信会社をターゲットにしています。
この新しいキャンペーンを発見した SentinelOne の研究者らは、これを WIP26 として追跡していると述べました。WIP26 は、同社が特定のサイバー攻撃グループによるものではない活動に対して使用している指定です。
今週の報告書では、WIP26がコマンドアンドコントロール(C2)の目的だけでなく、マルウェアの配信や流出したデータの保存のためにパブリッククラウドインフラを使用していることを観察したと指摘した。 このセキュリティ ベンダーは、攻撃者が、最近他の多くの攻撃者が行っているように、検出を回避し、侵害されたネットワーク上での活動を発見しにくくするためにこの戦術を使用していると評価しました。
「WIP26の活動は、脅威アクターがステルス性を維持し防御を回避するためにTTP(戦術、技術、手順)を継続的に革新していることの関連する例である」と同社は述べた。
SentinelOne が観察した攻撃は通常、標的となった中東の通信会社内の特定の個人に向けられた WhatsApp メッセージから始まりました。 メッセージには、この地域に関連する貧困関連のトピックに関する文書が含まれていると称する Dropbox 内のアーカイブ ファイルへのリンクが含まれていました。 しかし実際には、マルウェア ローダーも含まれていました。
ユーザーがだまされてリンクをクリックすると、デバイスに 2 つのバックドアがインストールされてしまいました。 SentinelOne は、Microsoft 365 Mail クライアントを C2 として使用し、CMD365 として追跡されるそれらのバックドアの 1 つと、同じ目的で Google Firebase インスタンスを使用する CMDEmber と呼ばれる 2 番目のバックドアを発見しました。
セキュリティ ベンダーは、WIP26 がバックドアを使用して偵察を行い、権限を昇格させ、追加のマルウェアを展開し、ユーザーのプライベート ブラウザ データ、被害者のネットワーク上の価値の高いシステムに関する情報、その他のデータを盗んでいると説明しました。 SentinelOne は、両方のバックドアが被害者のシステムとネットワークから収集している多くのデータは、攻撃者が将来の攻撃に備えていることを示唆していると評価しました。
「私たちが観察した最初の侵入ベクトルには、精密なターゲット設定が含まれていました」と SentinelOne は述べています。 「さらに、中東の電気通信プロバイダーが標的となっていることから、この活動の背後にある動機がスパイ活動に関連していることが示唆されます。」
WIP26 は、過去数年間に通信会社を標的にした数多くの攻撃者の 1 つです。 最近の例の中には、オプタス、テレストラ、ダイアログなどのオーストラリアの通信会社に対する一連の攻撃など、金銭的な動機があったものもあります。 セキュリティ専門家らは、こうした攻撃は、顧客データを盗んだり、いわゆるSIMスワッピングスキームを介してモバイルデバイスをハイジャックしようとしたりするサイバー犯罪者の間で通信会社への関心が高まっている兆候だと指摘している。
ただし、多くの場合、サイバースパイ活動と監視が通信プロバイダーに対する攻撃の主な動機となっています。 セキュリティ ベンダーは、中国、トルコ、イランなどの国の高度で持続的な脅威グループが通信プロバイダーのネットワークに侵入し、それぞれの政府に関係する個人や団体を監視する活動をいくつか報告しています。
その一例は、中国を拠点とするグループが世界中の大手電気通信会社のネットワークに侵入し、通話データ記録を盗み、特定の個人を追跡できるようにする「ソフトセル作戦」です。 別のキャンペーンでは、Light Basin として追跡されている攻撃者が、主要通信事業者 13 社のネットワークからモバイル加入者 ID (IMSI) とメタデータを盗みました。 キャンペーンの一環として、攻撃者はキャリア ネットワークにマルウェアをインストールし、これにより標的となった個人の通話、テキスト メッセージ、通話記録を傍受できるようになりました。