Last Updated on 2024-06-16 00:20 by 荒木 啓介
2024年、パキスタン拠点の脅威アクターがインド政府機関を標的としたサイバー攻撃キャンペーンに関与していると疑われています。サイバーセキュリティ企業Volexityは、この活動をUTA0137として追跡し、Golangで書かれたDISGOMOJIというマルウェアを独占的に使用していることを指摘しています。このマルウェアはLinuxシステムを感染させるように設計されており、コマンドアンドコントロール(C2)通信にDiscordのメッセージングサービスと絵文字を使用します。
攻撃は、Golang ELFバイナリを含むZIPアーカイブファイルを添付したスピアフィッシングメールから始まります。このバイナリは、餌となる無害なドキュメントをダウンロードすると同時に、リモートサーバーからDISGOMOJIペイロードをこっそりダウンロードします。DISGOMOJIは、攻撃者が制御するDiscordサーバーから受け取ったコマンドを実行し、ホスト情報をキャプチャするために設計されています。コマンドはさまざまな絵文字の形で送信されます。
Volexityは、DISGOMOJIが持続性を確立し、同時に複数のDISGOMOJIプロセスが実行されるのを防ぎ、実行時に動的にDiscordサーバーへの接続資格情報を取得し、偽の情報やエラーメッセージを表示して分析を妨げる機能を備えた異なるバリエーションを発見しました。UTA0137は、ネットワークスキャンとトンネリングの目的でNmap、Chisel、Ligoloなどの合法的かつオープンソースのツールも使用しており、最近のキャンペーンではLinuxホストに対する特権昇格を達成するためにDirtyPipeの脆弱性(CVE-2022-0847)を悪用しています。また、Firefoxの更新と偽ってユーザーからパスワードを騙し取るために悪意のあるダイアログボックスを表示するZenityユーティリティの使用も報告されています。
【ニュース解説】
2024年にパキスタンに拠点を置く疑わしい脅威アクターが、インド政府機関を標的としたサイバー攻撃キャンペーンに関与していることが明らかになりました。この攻撃キャンペーンでは、DISGOMOJIと呼ばれる特定のマルウェアが使用されています。このマルウェアは、Golang言語で書かれており、Linuxシステムを感染させることを目的としています。特徴的な点は、コマンドアンドコントロール(C2)通信にDiscordのメッセージングサービスと絵文字を利用していることです。
この攻撃は、スピアフィッシングメールを通じて実行されます。メールには、Golangで書かれたELFバイナリが含まれるZIPアーカイブファイルが添付されており、このバイナリが実行されると、餌となる無害なドキュメントと共に、DISGOMOJIペイロードがリモートサーバーから密かにダウンロードされます。DISGOMOJIは、攻撃者がDiscordサーバーを介して送信する絵文字形式のコマンドを実行し、ホスト情報を収集するように設計されています。
このマルウェアの使用は、サイバー攻撃の手法として非常に巧妙であり、通常の通信と見分けがつきにくいため、検出を回避しやすくなっています。また、DISGOMOJIは、持続性を確保し、分析を困難にする機能を備えているため、一度感染すると除去が難しくなります。
この攻撃キャンペーンの影響は、政府機関のセキュリティ体制にとって重大です。機密情報が盗まれるリスクがあり、国家安全保障に関わる問題に発展する可能性があります。また、このような攻撃は、国際関係における緊張を高める要因となり得ます。
一方で、この攻撃キャンペーンは、サイバーセキュリティの重要性を再認識させる機会ともなります。特に、政府機関や企業は、セキュリティ対策を強化し、定期的なセキュリティチェックを実施することが重要です。また、従業員へのセキュリティ教育を徹底し、スピアフィッシングメールなどの脅威に対する警戒心を高める必要があります。
将来的には、このような攻撃に対抗するための新たな技術や手法の開発が期待されます。また、国際的な協力を通じて、サイバー攻撃の脅威に対処する体制を強化することが求められます。サイバーセキュリティは、今後も進化し続ける技術と脅威の間での戦いとなるでしょう。
from Pakistani Hackers Use DISGOMOJI Malware in Indian Government Cyber Attacks.
