SideWinder、南アジアの外交官を標的とした新しいClickOnceベースの攻撃チェーンを採用

最近、南アジア全域の外交および政府機関を標的とした新たなサイバー諜報キャンペーンが明らかになりました。SideWinderと呼ばれる脅威アクターは2025年9月にこの作戦を開始し、インドのニューデリーにある欧州大使館やスリランカ、パキスタン、バングラデシュの各機関を標的としました。このキャンペーンは、SideWinderの戦術、技術、手順（TTP）の進化を示しており、従来のMicrosoft Wordの脆弱性利用に加え、PDFファイルとClickOnceアプリケーションを活用した新たな感染チェーンを導入しています。 Trellixの研究者エルネスト・フェルナンデス・プロベチョとファム・ズイ・フックは、攻撃者が2025年3月から9月にかけて4波にわたりスピアフィッシングメールを送信した経緯を詳述しました。これらのメールには「Inter-ministerial meeting Credentials.pdf」や「India-Pakistan Conflict - Strategic and Tactical Analysis of May 2025.docx」などの公式文書を装った悪意ある添付ファイルが含まれていました。メールはパキスタン国防省を模倣したドメインから送信され、欺瞞性を高めていました。 これらの攻撃の初期感染ベクターは悪意あるPDFまたはWordファイルの送信です。PDFファイルには受信者に最新のAdobe Readerのダウンロードとインストールを促すボタンが含まれていますが、クリックするとリモートサーバーからClickOnceアプリケーションのダウンロードが開始されます。このアプリケーション「ReaderConfiguration.exe」はMagTek Inc.の正規の実行ファイルで、有効なデジタル署名が付与されており信頼性があるように見えます。起動すると「DEVOBJ.dll」という悪意あるDLLをサイドロードし、これが.NETローダー「ModuleInstaller」を復号・実行します。 ModuleInstallerは感染システムのプロファイリングとさらなる悪意あるペイロードのダウンロードを担い、その中にはStealerBotも含まれます。StealerBotは高度な.NETインプラントで、リバースシェルの起動、追加マルウェアの配信、スクリーンショット、キーストローク、パスワード、ファイルなどの機密データの収集が可能です。ModuleInstallerとStealerBotは2024年10月にカスペルスキーによって初めて公に特定され、SideWinderの中東およびアフリカの戦略的インフラを標的とした以前の攻撃に関連付けられています。 2025年5月にAcronisが報告した以前の攻撃も、スリランカ、バングラデシュ、パキスタンの政府機関を標的にし、悪意あるMicrosoft Office文書を用いてStealerBotを配布していました。最新のキャンペーンは、PDFとWord文書の組み合わせ、地政学的文脈を反映したフィッシングメール、正規ソフトウェアの悪用によるマルウェアのサイドロードを用いることで高度化しています。特に、コマンド＆コントロールサーバーは南アジアへのアクセスを制限し、動的なダウンロードパスを生成して調査を困難にしています。 このキャンペーンは、SideWinderが手法を洗練させ検出を回避しようとする執拗な努力を反映しています。複数波にわたるフィッシング戦略は外交環境への深い理解を示し、成功率を最大化するために非常に特定的な誘い文句を作成しています。カスタムマルウェアと正規署名済みアプリケーションを活用したペイロード配信は、回避と長期的な諜報目的に焦点を当てていることを示しています。Trellixの調査結果は、このグループが地政学的に敏感な地域の外交および政府機関に対して継続的な脅威をもたらしていることを強調しています。