SHEETCREEP: 致命的なセキュリティ欠陥を持つパキスタンのカスタム マルウェア

運用セキュリティの失敗の顕著な例として、研究者らは、インドの著名な軍人や政治関係者を標的としてパキスタン政府が開発したとされる高度なカスタム マルウェアを発見しました。 SHEETCREEP と名付けられたこのマルウェアは、サイバー スパイ活動に対する革新的なアプローチを表していますが、最終的には重要なセキュリティ監視によって自らを弱体化させました。

シートクリープの発見

サイバーセキュリティ コミュニティは最近、インドに対する国家主導のサイバー作戦の一部であると思われるカスタムビルドのマルウェアである SHEETCREEP に注目を集めました。このマルウェアは UAE とインドの戦略的パートナーシップ週間中に発見され、両国間の外交イベントとのタイミングや関連性の可能性を示唆しています。

大手サイバーセキュリティ企業である Securonix の研究者は、インドのターゲットに送信された不審なファイルを分析した結果、マルウェアを特定しました。調査により、重要な技術的能力を備えた高度な作戦が明らかになりましたが、最終的には作戦上のセキュリティにおける根本的なミスによって損なわれました。

SHEETCREEP の技術アーキテクチャ

SHEETCREEP は、悪意のある .lnk (ショートカット) ファイルから始まる多段階の感染プロセスを採用しています。このショートカットを実行すると、被害者のシステム上で永続性を確立する悪意のある C# コードが起動されます。その後、マルウェアは機密データをコマンド アンド コントロール (C2) サーバーとして機能する Google スプレッドシート ドキュメントに流出させます。

Google スプレッドシートを C2 サーバーとして使用することは、正規のクラウド サービスを悪意のある目的で利用する革新的なアプローチを表しています。この手法により、オペレーターは感染したシステムとの通信を維持しながら、専用サーバーやインフラストラクチャにフラグを立てる可能性のある従来のセキュリティ対策を回避できる可能性があります。

重大なセキュリティ上の欠陥

SHEETCREEP には技術的に洗練されているにもかかわらず、重大なセキュリティ上の見落としが含まれており、それが最終的に発見と暴露につながりました。パキスタン政府は、Google スプレッドシート C2 サーバーの URL とアクセス キーをマルウェア ペイロードに直接ハードコーディングしたとされています。

この運用上のセキュリティ上の間違いは、国家支援によるサイバー作戦の文脈では特にひどいものです。運用上のセキュリティを適切に実践するには、マルウェア自体を変更せずに変更できる動的構成または暗号化された構成を使用する必要があります。ハードコードされた認証情報は基本的に、研究者に業務全体のロードマップを提供します。

資格情報のハードコーディングが重大なエラーである理由

• 研究者が C2 インフラストラクチャを特定できるようにする
• 使用されている特定の Google スプレッドシート ドキュメントを明らかにする
• 感染したシステムを制御するために必要なアクセスキーを提供します
• ターゲットとオペレーションのリスト全体を公開します
• マルウェアを再導入せずにインフラストラクチャを変更することは不可能

発見と分析

SHEETCREEP のサンプルを入手したセキュリティ研究者は、ハードコードされた認証情報の重要性をすぐに認識しました。これらの埋め込まれた詳細を調べることで、マルウェアの C2 サーバーとして機能する Google スプレッドシート ドキュメントにアクセスすることができました。

この文書には、次のような作戦に関する情報の宝庫が含まれていました。

• 標的となった個人および組織の完全なリスト
• 感染キャンペーンの詳細
• 感染したシステムとオペレーター間の通信パターン
• 侵害されたシステムから流出したデータ

研究者らは、パキスタン政府が重要とみなした91人の人物、主にインドの軍人や政治関係者を監視していたことを発見した。このリストは、特定の価値の高い個人をターゲットとした組織的なサイバースパイ活動の具体的な証拠を提供します。

機能	説明
配送方法	悪意のある .lnk ファイルがターゲットに送信される
実行	ショートカット経由で実行される悪意のある C# コード
永続性	アクセスを維持するための複数のメカニズム
データの引き出し	Google スプレッドシートのドキュメントに送信されました
C2 通信	コマンド アンド コントロール サーバーとして使用される Google スプレッドシート

意味と教訓

SHEETCREEP 事件は、サイバー作戦における運用セキュリティの重要性についての警鐘を鳴らしています。技術的に洗練されたマルウェアを開発したにもかかわらず、オペレータは、運用を保護できたはずの基本的なセキュリティ対策を実装していませんでした。

この事件は、国の支援を受けた攻撃者が悪意のある目的で正規のクラウド サービスを利用する傾向が増大していることも浮き彫りにしています。 Google スプレッドシートを C2 サーバーとして使用することで、オペレーターは自分たちの活動と通常のクラウドの使用を融合させようとしたため、検出がより困難になる可能性がありました。

サイバーセキュリティの専門家にとって、SHEETCREEP 事件は、国家の支援を受ける攻撃者が使用する戦術、技術、および手順 (TTP) に関する貴重な洞察を提供します。これらの方法を理解することは、組織が同様の脅威に対するより優れた防御を開発するのに役立ちます。

結論

SHEETCREEP は、国家主導のサイバー作戦の領域における技術革新と運用上の失敗の両方を表しています。このマルウェアが Google スプレッドシートを C2 サーバーとして使用していることは、創造的な問題解決を示していますが、ハードコードされた認証情報は、運用上のセキュリティに関する根本的な誤解を明らかにしています。

研究者がマルウェアとそれに関連するインフラストラクチャの分析を続けるにつれて、作戦の全容がより明らかになる可能性があります。一方で、SHEETCREEP事件は、最も高度なサイバー作戦であっても、基本的なセキュリティの監視によって取り消される可能性があることを思い出させるものとなっています。

国家の支援を受けた攻撃者に狙われる可能性のある組織や個人にとって、今回の事件は、電子メール セキュリティ、エンドポイント保護、このような高度な攻撃を検出して防止するためのユーザー意識トレーニングなど、堅牢なサイバーセキュリティ対策の重要性を浮き彫りにしました。

> be pakistan Government > カスタムマルウェアの開発 > 注目度の高いターゲットをターゲットにするために使用される > インドの軍人や政治家に対して使用される > シートクリープという名前 > インドのPPLファイルを送信 > UAE-インド戦略的パートナーシップウィーク > 悪意のある .lnk ファイル > .lnk は悪意のある C Sharp コードを実行します > 永続化のために多くのことを行います > データを Google スプレッドシートに流出させます > Google スプレッドシートを使用して被害者の PC を制御できる > パキスタン政府のハードコード Google C2 シート > パキスタン政府ハードコード Google C2 シート > アクセスキーをペイロードに埋め込む > アクセスキーをペイロードに埋め込む > マルウェアオタクがそれを見つける > 中を見てください > パキスタン政府からのターゲットをすべて見つける > 91 人を監視することが重要だと考えている 彼らはとても力強くスタートした。なぜすべてをハードコードしたのですか。あなたはあなたのオペレーションを燃やしました https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/ > パキスタン政府になる > カスタムマルウェアの開発 > 注目度の高いターゲットをターゲットにするために使用される > インドの軍人や政治家に対して使用される > シートクリープという名前 > インドのPPLファイルを送信 > UAE-インド戦略的パートナーシップウィーク > 悪意のある .lnk ファイル > .lnk は悪意のある C Sharp コードを実行します > 永続化のために多くのことを行います > データを Google スプレッドシートに流出させます > Google スプレッドシートを使用して被害者の PC を制御できる > パキスタン政府のハードコード Google C2 シート > パキスタン政府ハードコード Google C2 シート > アクセスキーをペイロードに埋め込む > アクセスキーをペイロードに埋め込む > マルウェアオタクがそれを見つける > 中を見てください > パキスタン政府からのターゲットをすべて見つける > 91 人を監視することが重要だと考えている 彼らはとても力強くスタートした。なぜすべてをハードコードしたのですか。あなたはあなたのオペレーションを燃やしました https://www.securonix.com/blog/sheetcreep-evolved-google-sheets-rat/

検出コンポーネント	重要性
ハードコードされた Google スプレッドシートの URL	C2 サーバー インフラストラクチャを特定しました
埋め込みアクセス キー	C2 サーバーにアクセスするために提供された認証情報
ターゲットリスト	監視対象者 91 名を明らかに
操作の詳細	キャンペーンの範囲と目的を示しました