シートクリープ: パキスタン政府のカスタム マルウェア運用が重大なセキュリティ欠陥によりどのように崩壊したか
はじめに
進化し続けるサイバー戦争の状況において、国家支援による作戦は、多くの場合、高度化とステルス性の頂点を表します。しかし、最近発見された「SHEETCREEP」と呼ばれるマルウェア キャンペーンは、インドの著名な軍人や政治関係者をターゲットにパキスタン政府によって開発されたとされるこの予想とはまったく対照的なものであることを明らかにしました。この作戦が特に注目に値するのは、その野心だけではなく、作戦の完全暴露につながった重大な作戦上のセキュリティ上の失敗です。
Securonix のセキュリティ研究者によって発見された SHEETCREEP 作戦は、サイバー戦争戦術における興味深い事例研究であり、指揮統制 (C2) のための共通プラットフォームの革新的な使用と、基本的な運用上のセキュリティ上のミスによる壊滅的な結果の両方を浮き彫りにしています。
SHEETCREEP オペレーションの概要
SHEETCREEP はカスタム マルウェア キャンペーンで、インドのターゲットを監視し、データを窃取するためにパキスタン政府機関によって組織されたとされています。この作戦は UAE とインドの戦略的パートナーシップ週間に合わせて行われたようで、この重要な外交イベント中に情報収集を試みた可能性を示唆しています。
このキャンペーンは、インドの軍人や政治家を含む、パキスタン政府によって重要とみなされた91人をターゲットにしました。この作戦は、インド政府および軍組織内の情報収集に戦略的に焦点を当てていることを明確に示しています。
表: SHEETCREEP 操作の概要
| 属性 |
詳細 |
| マルウェア名 |
シートクリープ |
| 開発者とされる人物 |
パキスタン政府 |
| 主なターゲット |
インドの軍人および政治関係者 |
| ターゲットの数 |
91 名 |
| タイミング |
UAE-インド戦略的パートナーシップウィーク |
SHEETCREEP マルウェアの技術分析
SHEETCREEP の技術的な実行により、複数のコンポーネントが連携して動作する多段階の感染プロセスが明らかになります。最初の配信メカニズムには、スピア フィッシング キャンペーンで一般的なベクトルである、悪意のある .lnk (ショートカット) ファイルが含まれます。このショートカット ファイルが実行されると、Windows の組み込み機能を利用して、悪意のある C# コードが起動され、.NET アセンブリが実行されます。
マルウェアは実行されると、いくつかの方法で被害者のシステム上に永続性を確立します。これにより、マルウェアはシステムの再起動後もアクティブな状態を維持し、侵害されたマシン上に長期間存在し続けることが保証されます。永続化メカニズムには、マルウェア開発プレイブックの標準技術であるレジストリの変更とスケジュールされたタスクの作成が含まれます。
SHEETCREEP の最も革新的な点は、Google スプレッドシートをコマンド アンド コントロール (C2) サーバーとして使用していることです。このアプローチにより、通信事業者は、侵害されたシステムとの通信に広く使用されている正規のプラットフォームを利用できるようになり、トラフィックが無害であるように見えるため、検出がより困難になる可能性があります。
表: SHEETCREEP の技術コンポーネント
| コンポーネント |
関数 |
技術的な詳細 |
| 初回配信 |
悪意のある .lnk ファイル |
C# コードを実行するショートカット ファイル |
| 永続性 |
システムレベルの永続性 |
レジストリの変更、スケジュールされたタスク |
| C2 通信 |
データの引き出しとコマンドの受信 |
C2 サーバーとしての Google スプレッドシート |
| データの引き出し |
盗まれたデータの転送 |
Google スプレッドシートに流出 |
ターゲティング戦略
SHEETCREEP 作戦は、インド政府および軍内の機密情報にアクセスできる個人に焦点を当てた、集中的な標的化アプローチを示しています。 91 のターゲットの選択は、各個人から収集できる情報の知覚価値に基づいて優先順位を付けたリストを示唆しています。
UAE-インド戦略的パートナーシップ週間中のこの作戦のタイミングは、インドとアラブ首長国連邦の間で外交活動が活発化している時期に情報収集を試みる可能性を示している。このタイミングは、外交上の立場や、潜在的にデリケートな議論についての貴重な洞察を提供する可能性があります。
悪意のある .lnk ファイルを使用したスピア フィッシング アプローチの使用は、攻撃者がターゲットについてある程度の知識を持っており、受信者が開ける可能性が高い説得力のあるおとりを作成できることを示唆しています。このレベルのターゲティングの高度さは、綿密に計画された情報収集作戦を示しています。
運用上の重大なセキュリティ障害
C2 プラットフォームとして Google スプレッドシートを革新的に使用したにもかかわらず、SHEETCREEP の運用は重大な運用上のセキュリティ上のミスによって損なわれました。パキスタン政府が Google C2 シートをハードコーディングし、アクセス キーをマルウェア ペイロードに直接埋め込んだというものです。
このエラーは、サイバー戦争における運用セキュリティ原則の根本的な違反を表しています。これらの認証情報をハードコーディングすることで、オペレーターは、マルウェアが発見され分析された場合に、セキュリティ研究者がすべてのターゲットのリストとそこから抽出されたデータを含むコマンド インフラストラクチャ全体に即座にアクセスできるようにしました。
セキュリティ研究者がマルウェアを発見し、そのコードを調査したところ、Google Sheets C2 サーバーへのハードコードされたアクセス キーが見つかりました。これにより、ターゲットの完全なデータベース、操作の範囲、侵害されたシステムから流出した可能性のあるデータにアクセスできるようになりました。
表: SHEETCREEP での運用上のセキュリティ障害
| セキュリティ障害 |
影響 |
代替のベスト プラクティス |
| ハードコードされた C2 シート URL |
C2 インフラストラクチャの完全な公開 |
動的な C2 解決または暗号化された構成 |
| 埋め込みアクセス キー |
被害者のすべてのデータへの不正アクセス |
外部要因または暗号化されたストレージからのキーの導出 |
| C2 認証情報の暗号化の欠如 |
すべてのターゲットと操作の詳細を簡単に発見 |
すべての機密設定データの強力な暗号化 |
影響と余波
SHEETCREEP 作戦の暴露は、サイバーセキュリティと地政学的関係の両方に重大な影響を及ぼします。パキスタン政府にとって、作戦の完全な侵害は重大な諜報活動の失敗を意味し、潜在的に監視能力を侵害し、その手法を暴露する可能性があります。
対象となった 91 人の個人にとって、外国政府によって監視されていたという事実は、データのセキュリティとプライバシーに関して深刻な懸念を引き起こします。これらの標的のうち何件が実際に侵害されたかは不明ですが、標的にされたことを知ることで、セキュリティ対策の強化や通信慣行の変更につながる可能性があります。
この作戦は、C2 目的で Google スプレッドシートなどの共通プラットフォームを使用する国家支援主体の増加傾向も浮き彫りにしています。このアプローチにより、攻撃者は正規のトラフィックに紛れ込み、未知のサーバーへの通信にフラグを立てる可能性のあるセキュリティ対策を回避できる可能性があります。
専門家の解説
サイバーセキュリティの専門家は、SHEETCREEP の技術的な実装にはある程度の創造性が示されているものの、運用上のセキュリティの失敗は、高度持続的脅威 (APT) の世界における初心者の間違いを表していると指摘しています。
「Google スプレッドシートを C2 サーバーとして使用することは、従来のマルウェアの戦略にとらわれない考え方を示す興味深い戦術です」と、このマルウェアを分析したあるセキュリティ研究者は述べています。 「しかし、ハードコードされた認証情報は運用上のセキュリティにおける壊滅的な失敗を表しており、マルウェアがそれ以外の方法で実証した可能性のある高度な技術力を完全に台無しにしてしまいます。」
他の専門家は、このエラーは開発を急いでいるか、マルウェアを担当する開発チーム内に適切なセキュリティ プロトコルが欠如していることを示している可能性があると示唆しています。
保護措置
同様の攻撃の標的となる可能性のある組織や個人に対して、セキュリティ専門家はいくつかの保護手段を推奨しています。
- メール セキュリティ: 高度なメール フィルタリングを実装して、悪意のある .lnk ファイルやその他の不審な添付ファイルを検出してブロックします。
- ユーザー教育: 不審なメールや添付ファイル、特に時事問題や外交活動に関連したメールや添付ファイルを認識して回避できるようにユーザーをトレーニングします。
- エンドポイント保護: 疑わしい動作パターンを特定してブロックできる高度なエンドポイント検出と対応 (EDR) ソリューションを導入します。
- ネットワーク監視:
データ漏洩を示す可能性のある、Google スプレッドシートなどの正規のプラットフォームとの異常な通信を監視します。
- 最小権限の原則: ユーザー権限を制限して、侵害の成功による潜在的な損害を最小限に抑えます。
結論
シートクリープ作戦は、サイバー戦争の世界における警鐘として機能し、潤沢な資金を提供された国家支援の作戦であっても、基本的な作戦上のセキュリティ上のミスによって完全に損なわれる可能性があることを示しています。 C2 プラットフォームとしての Google スプレッドシートの革新的な使用は、ハードコードされた認証情報の重大なエラーによって影が薄くなり、操作が完全に暴露されることになりました。
国家主導のサイバー作戦が進化し続けるにつれ、ますます高度化する技術と、その危険につながるセキュリティ上の不備が時折発生することが予想されます。シートクリープ事件は、サイバー戦争の領域では、技術的な洗練だけでは十分ではなく、運用上のセキュリティが依然として最優先であることを思い出させます。
サイバーセキュリティ コミュニティにとって、SHEETCREEP の分析は、国家支援の攻撃者が使用する戦術、技術、手順 (TTP) に関する貴重な洞察を提供し、将来の同様の作戦に対するより良い防御策を開発するのに役立ちます。
> be pakistan Government
> カスタムマルウェアの開発
> 注目度の高いターゲットをターゲットにするために使用される
> インドの軍人や政治家に対して使用される
> シートクリープという名前
> インドのPPLファイルを送信
> UAE-インド戦略的パートナーシップウィーク
> 悪意のある .lnk ファイル
> .lnk は悪意のある C Sharp コードを実行します
> 永続化のために多くのことを行います
> データを Google スプレッドシートに流出させます
> Google スプレッドシートを使用して被害者の PC を制御できる
> パキスタン政府のハードコード Google C2 シート
> パキスタン政府ハードコード Google C2 シート
> アクセスキーをペイロードに埋め込む
> アクセスキーをペイロードに埋め込む
> マルウェアオタクがそれを見つける
> 中を見てください
> パキスタン政府からのターゲットをすべて見つける
> 91 人を監視することが重要だと考えている
彼らはとても力強くスタートした。なぜすべてをハードコードしたのですか。あなたはあなたのオペレーションを燃やしました
https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/
> パキスタン政府になる
> カスタムマルウェアの開発
> 注目度の高いターゲットをターゲットにするために使用される
> インドの軍人や政治家に対して使用される
> シートクリープという名前
> インドのPPLファイルを送信
> UAE-インド戦略的パートナーシップウィーク
> 悪意のある .lnk ファイル
> .lnk は悪意のある C Sharp コードを実行します
> 永続化のために多くのことを行います
> データを Google スプレッドシートに流出させます
> Google スプレッドシートを使用して被害者の PC を制御できる
> パキスタン政府のハードコード Google C2 シート
> パキスタン政府ハードコード Google C2 シート
> アクセスキーをペイロードに埋め込む
> アクセスキーをペイロードに埋め込む
> マルウェアオタクがそれを見つける
> 中を見てください
> パキスタン政府からのターゲットをすべて見つける
> 91 人を監視することが重要だと考えている
彼らはとても力強くスタートした。なぜすべてをハードコードしたのですか。あなたはあなたのオペレーションを燃やしました
https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/
TechOffice
