インド政府システムへの攻撃：ハッカーが偽のショートカットファイルを展開

パキスタンに関連するハッキンググループ「Transparent Tribe（APT36）」が、インド政府機関に対する新たなサイバー攻撃キャンペーンを展開していることで再び注目を集めています。

サイバーセキュリティ企業CYFIRMAの研究者たちは、インド政府機関を狙った新しいサイバー諜報キャンペーンを発見しました。この攻撃者は、悪意のあるデスクトップショートカットファイルを無害なPDF文書に偽装して、バックグラウンドでマルウェアを秘密裏にインストールします。

攻撃の仕組み

CYFIRMAによると、このキャンペーンは公式の会議招待状を装ったフィッシングメールから始まります。ファイル名は「Meeting_Ltr_ID1543ops.pdf.desktop」のようになります。無害な文書のように見える添付ファイルをクリックした被害者は、知らず知らずのうちに悪意のあるショートカットファイルを実行し、バックグラウンドでスパイウェアをインストールします。

このファイルは、攻撃者が制御するサーバー（securestore[.]cvやmodgovindia[.]spaceなど）からマルウェアペイロードをダウンロードし、バックグラウンドにインストールします。疑いを避けるために、Google Driveにホストされた偽のPDFがFirefoxで開かれ、被害者は単に会議文書を開いたと信じ込まされます。

システムに侵入すると、Goプログラミング言語で書かれたマルウェアは、機密データを盗んだり、ログイン資格情報を収集したり、長期的なアクセスを可能にしたり、再起動後も自動タスクを設定することでアクティブな状態を維持します。

「APT36は、被害者のオペレーティング環境に応じて配信メカニズムをカスタマイズする能力を持っており、これにより成功の可能性を高め、重要な政府インフラへの持続的なアクセスを維持し、従来のセキュリティ対策を回避しています」とCYFIRMAは研究ブログで述べています。

以前の作戦とは異なり、このキャンペーンは特にインドのLinuxベースのシステム（政府支援のOSであるBOSS（Bharat Operating System Solutions）など）に攻撃を特化させており、Windowsシステムにも対応しています。

持続性を維持するために、マルウェアはcronジョブを追加し、システムが再起動するたびに隠されたペイロード「.config/systemd/systemd-update」を実行し、シャットダウンやプロセス終了後もアクティブな状態を保ちます。

BOSSは政府機関で広く使用されているため、この二重プラットフォームのターゲティングはハッカーの成功の可能性を高めます。

なぜこれが重要なのか

セキュリティ専門家は、Transparent Tribeの進化する戦術が、従来のWindowsマルウェアの使用からLinux BOSSを狙った脅威の開発にシフトしていると警告しています。

「Linux BOSSを狙った.desktopペイロードの採用は、国内技術を利用するための戦術的なシフトを反映しています。従来のWindowsベースのマルウェアやモバイルインプラントと組み合わせることで、グループのアクセスベクトルを多様化し、強化された環境でも持続性を確保する意図を示しています」とCYFIRMAは述べています。

危険を増す要因として、このグループはインド政府ポータルを模倣した資格情報収集サイトも運営しています。偽のログインページは、被害者を騙してメールアドレス、パスワード、さらには2022年からインドの機関で使用されているKavach二要素認証（2FA）コードを提供させます。このセキュリティ層を回避することで、攻撃者は機密アカウントに完全にアクセスできるようになります。

長期的な脅威

パキスタンから活動しているとされるTransparent Tribeは、10年以上にわたり、インド政府、国防、重要インフラ組織を定期的に標的にしています。彼らの戦術は、単純なWindowsベースのマルウェアから、南アジア全体での高度に特化したLinuxバックドアや資格情報盗難スキームへと着実に進化しています。

推奨事項と緩和策

セキュリティ研究者は、政府職員に対し、メールの添付ファイルやログインページを慎重に扱うようアドバイスしています。偽装されたPDFや偽のポータルがユーザーを騙して資格情報を提供させるために使用されています。

APT36のインド政府機関を狙ったキャンペーンに対抗するために、機関は強力なメールセキュリティを導入し、定期的なユーザートレーニングを実施し、BOSS Linuxを最小特権制御で強化することが推奨されます。エンドポイント検出、ネットワーク監視、IOC/YARAルールの統合は早期検出に役立ち、タイムリーなパッチ適用と行動ベースの制御が疑わしい活動をブロックするために重要です。

全体像

この事件は、政府インフラを標的にするAPTグループによって引き起こされる国家安全保障リスクを浮き彫りにしています。成功すれば、こうした攻撃は機密データの盗難、重要な業務の中断、インドの機関に対する長期的な監視を可能にする可能性があります。Transparent Tribeがその手法を進化させ続ける中、インドはサイバー諜報から敏感なインフラを守るという新たな課題に直面しています。