Windows狙うマルウェア、AndroidとmacOSまで標的広げて攻撃中
マイナビニュース / 2024年6月15日 18時18分
Cisco Talos Intelligence Groupは6月13日(米国時間)、「Operation Celestial Force employs mobile and desktop malware to target Indian entities」において、2018年から継続的に実行されているマルウェアを配布するサイバー攻撃のキャンペーン「Operation Celestial Force」に関する最新の分析結果を伝えた。このキャンペーンは主にインド政府および防衛関連組織や個人を標的にしており、パキスタンの脅威アクターにより運営されていると推測されている。
○脅威グループ「Cosmic Leopard」の概要
Cisco TalosはOperation Celestial Forceとして実行されている複数のキャンペーンの実行者について、パキスタンの複数の脅威アクターと推定している。これら脅威アクターが使用した戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)は、パキスタンの持続的標的型攻撃(APT: Advanced Persistent Threat)グループの「Transparent Tribe」と一部重複しており、このAPTグループの関与も疑われている。
Cisco Talosは一連の攻撃の実行者たちを識別するため、「Cosmic Leopard」と総称し、追跡している。Cosmic Leopardは2018年の活動初期ではWindows向けのマルウェア「GravityRAT」を開発・使用した。2019年ごろからはAndroid向けのGravityRATを開発し、標的にモバイルデバイスを加えている。
○侵害経路
Cosmic Leopardは、初期感染を行う際、スピアフィッシング攻撃とソーシャルエンジニアリング攻撃を実行するとされる。最近はソーシャルネットワーキングサービス(SNS: Social networking service)を介して標的に接触し、信頼関係を構築してからGravityRATまたはマルウェアローダー「HeavyLift」を配布する戦術を使用している。
配布するマルウェアは標的ごとに最適なものを選択しているとみられ、モバイルデバイスに対してはAndroid版のGravityRAT、Windowsに対してはGravityRATまたはHeavyLift、macOSに対してはHeavyLiftを使用する。いずれのマルウェアも攻撃者のコマンド&コントロール(C2: Command and Control)サーバに接続し、管理インタフェース「GravityAdmin」を通じて操作する。
○管理インタフェース「GravityAdmin」とは
Cosmic Leopardは窃取した情報の確認とマルウェアの操作に管理インタフェース「GravityAdmin」を使用する。GravityAdminは起動時にユーザーID、パスワード、キャンペーンIDの入力を求める。ユーザー認証が必要なことから、複数のユーザーによる管理を前提にしていることがわかる。
Cisco Talosは調査過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「IOCs/2024/06 at main · Cisco-Talos/IOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
ゲームアプリやSNS装った4つのAndroidアプリ、実はトロイの木馬
マイナビニュース / 2024年7月3日 8時26分
-
Webブラウザ「Arc」に偽装してMacユーザーにマルウェア配布、注意を
マイナビニュース / 2024年7月1日 8時35分
-
Android向けトロイの木馬「Rafel」、古いデバイスに被害集中
マイナビニュース / 2024年6月26日 9時31分
-
Web会議ソフトを称するアプリから複数のマルウェア検出
マイナビニュース / 2024年6月21日 8時26分
-
Androidユーザー狙う偽アプリに注意、3つの攻撃が進行中
マイナビニュース / 2024年6月15日 14時32分
ランキング
-
1老後の趣味で気軽に“塗り絵”を始めて1年後…… めきめき上達した70代女性の美麗な水彩画に「本当にすごい…」「感動です」
ねとらぼ / 2024年6月29日 22時0分
-
2「ロンハー」有吉弘行のヤジに指摘の声「酷かった」「凄く悲しい言葉」 42歳タレントが涙浮かべる
ねとらぼ / 2024年7月2日 15時31分
-
3シャオミ、ペンを発売 「書き心地は良いが、タブレットとペアリングはできません」と公式
ITmedia NEWS / 2024年7月3日 8時30分
-
4坂本龍馬はそんなこと言わない! 居酒屋で発見された“ウソすぎる名言”が話題「おもろすぎる」「せめて土佐弁で」
ねとらぼ / 2024年7月2日 20時30分
-
5マイナポータルで障害、一部機能が利用しづらくなった
ASCII.jp / 2024年7月2日 16時35分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)