インドの政府機関とエネルギー企業が、HackBrowserDataというオープンソースの情報窃取マルウェアの改変版を用いたサイバー攻撃の標的となった。この攻撃は、インド空軍からの招待状を装ったフィッシングメールを通じて実行され、Slackをコマンドアンドコントロール(C2)サーバーとして使用して機密情報を窃取した。オランダのサイバーセキュリティ企業EclecticIQの研究者Arda Büyükkayaによると、このキャンペーンは2024年3月7日から観測され、Operation FlightNightと名付けられた。攻撃は、電子通信、ITガバナンス、国防に関連する複数の政府機関を含むインドの標的に対して行われ、私立のエネルギー企業からは財務文書、従業員の個人情報、石油・ガス掘削活動の詳細などが盗まれた。合計で約8.81GBのデータが流出した。
攻撃は、ISOファイル(”invite.iso”)を含むフィッシングメッセージから始まり、このISOファイル内に含まれるWindowsショートカット(LNK)が隠されたバイナリ(”scholar.exe”)の実行をトリガーし、同時にインド空軍からの招待状を装った囮のPDFファイルが被害者に表示される。その間、マルウェアは文書やキャッシュされたウェブブラウザデータを収集し、攻撃者がコントロールするSlackチャンネル「FlightNight」に送信する。
このマルウェアはHackBrowserDataの改変版で、ブラウザデータの窃取機能を超えて、文書(Microsoft Office、PDF、SQLデータベースファイル)の窃取、Slack経由での通信、難読化技術を使用した検出回避の機能を追加している。攻撃者は以前の侵入で囮のPDFを盗み出し、インド空軍を標的としたGoStealerというGo言語ベースのスティーラーを使用したフィッシングキャンペーンと行動の類似性があるとされる。この活動の詳細は、インドのセキュリティ研究者xelemental(@ElementalX2)によって2024年1月中旬に公開された。
Operation FlightNightとGoStealerキャンペーンは、攻撃者がオープンソースのツールを使用してサイバー諜報活動を行うという、シンプルだが効果的なアプローチを示している。これは、広く使用されているオープンソースの攻撃ツールやプラットフォームを悪用することで、最小限の検出リスクと投資で目的を達成するサイバー脅威の進化する風景を強調している。
【ニュース解説】
インドの政府機関とエネルギー企業が、HackBrowserDataというオープンソースの情報窃取マルウェアの改変版を用いたサイバー攻撃の標的になりました。この攻撃は、インド空軍からの招待状を装ったフィッシングメールを通じて実行され、Slackをコマンドアンドコントロール(C2)サーバーとして使用して機密情報を窃取する手法が取られました。このキャンペーンは「Operation FlightNight」と名付けられ、2024年3月7日から観測されています。
攻撃の手順は、ISOファイルを含むフィッシングメールから始まり、このISOファイル内に含まれるWindowsショートカットが隠されたバイナリの実行をトリガーします。同時に、インド空軍からの招待状を装った囮のPDFファイルが被害者に表示される間に、マルウェアは文書やキャッシュされたウェブブラウザデータを収集し、攻撃者がコントロールするSlackチャンネルに送信します。
このマルウェアは、ブラウザデータの窃取機能を超えて、文書の窃取、Slack経由での通信、難読化技術を使用した検出回避の機能を追加しています。この攻撃は、オープンソースのツールを使用してサイバー諜報活動を行うという、シンプルだが効果的なアプローチを示しています。これにより、広く使用されているオープンソースの攻撃ツールやプラットフォームを悪用することで、最小限の検出リスクと投資で目的を達成するサイバー脅威の進化する風景が強調されています。
この攻撃は、政府機関やエネルギー企業など、重要なインフラを標的にしており、その影響は非常に深刻です。機密情報の流出は、国家安全保障に関わる問題や企業の競争力低下につながる可能性があります。また、Slackのような正規のインフラを悪用することで、攻撃の検出を困難にし、サイバーセキュリティの対策を複雑化させています。
このような攻撃の増加は、サイバーセキュリティ対策の重要性を改めて浮き彫りにしています。特に、フィッシングメールに対する警戒や、使用するソフトウェアのセキュリティ機能の強化、従業員へのサイバーセキュリティ教育の徹底などが求められます。また、オープンソースツールの悪用に対する対策も、今後のサイバーセキュリティ戦略において重要な課題となるでしょう。
from Hackers Hit Indian Defense, Energy Sectors with Malware Posing as Air Force Invite.
