Cisco Japan Blog
Share
tweet

Cisco Japan Blog > 脅威リサーチ

脅威リサーチ

APT グループ「SideCopy」はいかに攻撃力を進化させ続けてきたのか


2021年7月14日

  • インドの政府関係者を標的にした SideCopy の活動が増加しており、Cisco Talos は追跡調査を行っています。SideCopy は APT36(別名 Mythic Leopard、Transparent Tribe)と同種のテーマと戦術を使用しています。
  • SideCopy は、Sidewinder APT の感染チェーンを模倣して、独自のマルウェアを配信する APT グループです。
  • 複数の感染チェーンで CetaRAT、Allakore、njRAT など、カスタム型とコモディティ型のリモートアクセス型トロイの木馬(RAT)が配信されていることを発見しました。
  • SideCopy が利用することがわかっていた 3 つのマルウェアファミリとは別に、4 つの新しいカスタム型 RAT ファミリと、「Lilith」、「Epicenter」という 2 つのコモディティ型 RAT が使用されたことも確認しています。
  • SideCopy は感染後に、ファイルの列挙から認証情報の窃取、キーロギングまで、さまざまな目的で使用するプラグインをインストールします。
  • Talos SideCopy の攻撃に関する詳細な調査報告書を公開しています。こちらpopup_iconをご覧ください。

最新情報

Cisco Talos は、インドの政府機関などを標的にした SideCopy のマルウェア攻撃が拡大していることを確認しました。これまで攻撃者は悪意のある LNK ファイルやドキュメントを使用して、C# ベースの標準的な RAT を配布してきました。このマルウェアを「CetaRAT」と呼んでいます。SideCopy は、公開されている Delphi ベースの RAT「Allakore RAT」も頻繁に使用しています。

しかし、同グループの最近の活動から、開発にも力を入れていることがうかがえます。Talos は、SideCopy の現在の感染チェーンでは、複数の新しい RAT ファミリとプラグインが使用されていることを発見しました。

SideCopy の攻撃で確認された戦術とテーマは、インドを標的にした Transparent Tribe APT(別名 APT36)のものとかなり似ています。具体的には、軍事組織やシンクタンクのものに見せかけた不正ドキュメントの使用、ハニートラップを使用して感染させようとする手口などです。

仕組み

SideCopy の感染チェーンは、悪意のある LNK ファイルを侵入ポイントとして使用し、その後、複数の HTA と DLL ローダを含む複雑な感染チェーンにより最後のペイロードが配信されるという点でかなり共通していますが、多少の違いがあります。

Talos は、他にも新たな RAT やプラグインが使用されていることを発見しました。DetaRAT、ReverseRAT、MargulasRAT、ActionRAT などです。また、同グループが 2019 年から njRAT、Lilith、Epicenter などのコモディティ型 RAT を使用していることも確認しています。

感染が成功すると、ファイルの列挙、ブラウザのパスワード窃取、キーロギングなどの特定の目的に使用する独自のプラグインがインストールされます。

影響

これらの攻撃を調査した結果、以下の知見を得ることができました。

  • 感染チェーンの初期段階では標準的な RAT を使用する
  • 標的を感染させた後は、さまざまなモジュラプラグインをインストールする
  • 新たな RAT を開発していることからわかるように、2019 年以降、SideCopy はマルウェアの攻撃力と感染後のツールを急速に進化させている
  • 現在のインフラの設定から推測すると、パキスタンとインドの標的に特別な関心を持っている

分析と IOC(侵入の痕跡)

SideCopy の攻撃に関する詳細な分析については、こちらの新しい調査報告書popup_iconをご覧ください。

IOC の詳細なリストについては、こちらpopup_iconこちらpopup_iconをご覧ください。

カバレッジ

カバレッジと保護には、Snort SID 57842 〜 57849 を使用できます。

この脅威に対応する OSquery の具体例については、以下のリンクをクリックしてください。

この脅威に対して、次の ClamAV シグネチャが作成されています。

  • Dropper.njRAT-9876129-0
  • Downloader.FList-9875630-0
  • Downloader.FileSearcher-9875631-0
  • Downloader.UPirate-9875632-0
  • Trojan.Johnnie-9875495-0
  • Trojan.Zapchast-9875496-0
  • Trojan.Zapchast-9875497-0
  • Keylogger.Xeytan-9875498-0
  • Keylogger.Lagger-9875499-0
  • Trojan.DetaRAT-9875325-0
  • Trojan.EpicenterRAT-9875326-0
  • Trojan.ReverseRAT-9875329-0
  • Trojan.Meterpreter-9875304-0
  • Trojan.Lilith-9875305-0
  • Trojan.PasswordStealer-9875308-0
  • Trojan.Chromer-9875310-0
  • Trojan.AllakoreRAT-9875300-0
  • Trojan.AllakoreRAT-9875301-0
  • Trojan.ActionRAT-9874905-0
  • Trojan.AllaKoreRAT-9874917-0
  • Malware.Generic-9874177-0
  • Packed.Trojanx-9874176-0

 

本稿は 2021 年 07 月 07 日に Talos Grouppopup_icon のブログに投稿された「InSideCopy: How this APT continues to evolve its arsenalpopup_icon」の抄訳です。

 

Tags:
コメントを書く