パキスタンに関連するマルウェアキャンペーンが進化し、Windows、Android、macOSをターゲットにしている。このキャンペーンは「Operation Celestial Force」と名付けられ、少なくとも2018年から活動している。Cisco Talosによると、この活動にはAndroid用マルウェア「GravityRAT」とWindows用マルウェアローダー「HeavyLift」が使用され、別のツール「GravityAdmin」を介して管理されている。このキャンペーンは「Cosmic Leopard」(別名「SpaceCobra」)として追跡されており、別のグループ「Transparent Tribe」との戦術的な重複が指摘されている。
GravityRATは2018年にWindowsマルウェアとして初めて確認され、以降、AndroidとmacOSのオペレーティングシステムにも対応するように進化した。MetaとESETの昨年の調査では、GravityRATのAndroidバージョンがインドの軍事関係者やパキスタン空軍をターゲットに、クラウドストレージ、エンターテイメント、チャットアプリに偽装して使用されていることが明らかにされた。Cisco Talosの調査では、これらの活動がGravityAdminを使用して統合されていることが示されている。
Cosmic Leopardは主にスピアフィッシングとソーシャルエンジニアリングを用いて標的との信頼を築き、悪意のあるサイトへのリンクを送り、GravityRATやHeavyLiftをダウンロードさせる。GravityAdminは少なくとも2021年8月から、感染したシステムを制御し、GravityRATとHeavyLiftのC2サーバーとの接続を確立するために使用されている。
新たに発見された脅威のコンポーネントであるHeavyLiftは、Windowsオペレーティングシステムをターゲットにした悪意のあるインストーラーを介して配布されるElectronベースのマルウェアローダーファミリーである。このマルウェアはシステムのメタデータを収集し、C2サーバーに定期的にポーリングしてシステム上で新しいペイロードを実行する。macOSでも同様の機能を実行するように設計されている。この多年にわたるオペレーションは、防衛、政府、関連技術分野に属するインドの実体や個人を継続的にターゲットにしている。
【ニュース解説】
パキスタンに関連するサイバー攻撃グループが、Windows、Android、macOSをターゲットにしたマルウェアキャンペーン「Operation Celestial Force」を展開しています。このキャンペーンは、少なくとも2018年から活動しており、Android用マルウェア「GravityRAT」、Windows用マルウェアローダー「HeavyLift」、そしてこれらを管理するためのツール「GravityAdmin」を使用しています。この活動は「Cosmic Leopard」(または「SpaceCobra」)という名前で追跡されており、別の攻撃グループ「Transparent Tribe」との戦術的な類似点が指摘されています。
GravityRATはもともと2018年にWindows向けのマルウェアとして確認され、その後、AndroidとmacOSにも対応するように進化しました。このマルウェアは、特にインドの軍事関係者をターゲットに、クラウドストレージやエンターテイメント、チャットアプリに偽装して使用されていることが明らかにされています。Cosmic Leopardは、スピアフィッシングやソーシャルエンジニアリングを駆使して標的との信頼関係を築き、悪意のあるサイトへのリンクを通じてGravityRATやHeavyLiftのダウンロードを促しています。
GravityAdminは、感染したシステムを制御し、GravityRATとHeavyLiftのコマンド&コントロール(C2)サーバーとの接続を確立するために使用されています。このツールは、特定のキャンペーンに対応する複数のユーザーインターフェース(UI)を内蔵しています。
HeavyLiftは、Windowsオペレーティングシステムをターゲットにした悪意のあるインストーラーを介して配布されるElectronベースのマルウェアローダーファミリーです。このマルウェアは、システムのメタデータを収集し、新しいペイロードの実行のためにC2サーバーに定期的に問い合わせます。また、macOS上でも同様の機能を実行するように設計されています。
このような攻撃キャンペーンの進化は、サイバーセキュリティの脅威がどのようにして多様化し、複雑化しているかを示しています。特に、複数のプラットフォームを標的にすることで、攻撃者はより広範な被害を引き起こす可能性があります。この事態は、個人ユーザーだけでなく、企業や政府機関にとっても、セキュリティ対策の強化と、特に多層的な防御戦略の重要性を強調しています。また、攻撃者がソーシャルエンジニアリングやスピアフィッシングを利用していることから、セキュリティ教育と意識向上の取り組みも同様に重要であると言えるでしょう。
from Pakistan-linked Malware Campaign Evolves to Target Windows, Android, and macOS.
