モロッコと西サハラ地域の人権活動家が、新たな脅威アクターによる標的となっている。この脅威アクターは、フィッシング攻撃を利用して被害者に偽のAndroidアプリをインストールさせたり、Windowsユーザーに対してはクレデンシャルハーベスティングページを提供することで情報を盗み出す。Cisco Talosは、この活動クラスターを「Starry Addax」と名付け、主にサハラ・アラブ民主共和国(SADR)に関連する活動家を標的にしていると説明している。Starry Addaxのインフラストラクチャは、AndroidとWindowsの両方のユーザーを標的にするよう設計されており、後者は人気のソーシャルメディアウェブサイトのログインページに偽装したウェブサイトを関与させている。
この敵対者は2024年1月から活動しているとされ、標的に対してスピアフィッシングメールを送り、サハラプレスサービスのモバイルアプリや地域に関連するデコイをインストールするよう促している。オペレーティングシステムに応じて、標的はサハラプレスサービスを偽装した悪意のあるAPKを提供されるか、ソーシャルメディアのログインページにリダイレクトされ、そこでクレデンシャルが収穫される。新しいAndroidマルウェア「FlexStarling」は多機能で、追加のマルウェアコンポーネントを配信し、感染したデバイスから機密情報を盗むことができる。インストールされると、Firebaseベースのコマンドアンドコントロール(C2)から実行されるコマンドを取得するなど、悪意のある行動を行うための広範な権限を被害者に要求する。
Talosによると、このような高価値の個人を標的にするキャンペーンは、通常、デバイス上で長期間静かに機能することを意図している。マルウェアから運用インフラストラクチャまで、すべてのコンポーネントはこの特定のキャンペーンのために特別に作られており、ステルス性とレーダー下での活動を重視していることを示している。
また、Oxycoratという新しい商用Androidリモートアクセストロイの木馬(RAT)が登場し、多様な情報収集能力を持つ製品として販売されている。
【ニュース解説】
モロッコと西サハラ地域の人権活動家が、新たに現れた脅威アクター「Starry Addax」によって標的にされています。この攻撃者は、フィッシング攻撃を駆使して被害者に偽のAndroidアプリをインストールさせたり、Windowsユーザーには偽のソーシャルメディアのログインページを通じて情報を盗み出す手法を用いています。この活動は、サハラ・アラブ民主共和国(SADR)に関連する活動家を主な標的としており、2024年1月から活動しているとされています。
この攻撃キャンペーンでは、特にAndroidユーザーに対しては「FlexStarling」と名付けられた新しい種類のマルウェアが使用されています。このマルウェアは、追加の悪意あるコンポーネントを配信し、感染したデバイスから機密情報を盗み出す能力を持っています。被害者には、マルウェアに広範な権限を与えるよう要求され、Firebaseベースのコマンドアンドコントロール(C2)サーバーからの指示に従って動作します。
このような攻撃は、特に高価値の個人を標的にし、デバイス上で長期間にわたって検出されずに活動することを目的としています。攻撃に使用されるマルウェアやインフラストラクチャは、このキャンペーン専用に特別に設計されており、攻撃者がステルス性とレーダー下での活動を重視していることが伺えます。
さらに、Oxycoratという新しい商用Androidリモートアクセストロイの木馬(RAT)が登場しており、これは多様な情報収集能力を持つ製品として販売されています。このようなツールの出現は、サイバーセキュリティの脅威がますます高度化していることを示しています。
このニュースは、人権活動家やその他の高価値の個人が直面しているサイバーセキュリティの脅威の深刻さを浮き彫りにしています。攻撃者は、標的のデバイスに長期間潜伏し、機密情報を盗み出すために、ますます巧妙な手法を用いています。このような攻撃から身を守るためには、フィッシング攻撃に対する警戒を強め、不審なメールやリンクには注意を払うことが重要です。また、ソフトウェアの更新を常に最新の状態に保ち、信頼できるセキュリティソリューションを使用することも、攻撃を防ぐための重要な対策となります。
from Hackers Targeting Human Rights Activists in Morocco and Western Sahara.
