SideCopy APTとは
SideCopyは、2019年から活動しているAPT(高度持続的脅威)グループです。このグループは、南アジアでサイバースパイ活動を行っている既知の脅威アクターグループ「Transparent Tribe(APT36)」のサブクラスターとして機能しています。APT36は主にLinuxベースの環境を標的としていますが、SideCopyはWindowsシステムに焦点を当てており、さまざまなリモートアクセス型トロイの木馬(RAT)やプラグインを使用して持続性を維持し、機密データを抽出します。
SideCopyは、マルウェア配布手法をHTAファイルからMSIパッケージへと移行し、インドやアフガニスタンの鉄道、石油・ガス、外務省などの重要インフラ分野にも標的を拡大しています。
初期アクセスは、信頼できる組織を装ったスピアフィッシングメールを通じて行われ、悪意のあるZIPファイルの添付や偽装ドメインへのリンクが含まれています。アクセス後、RATを通じてペイロードが展開され、機密情報の収集、ユーザーアカウントの列挙、キーストロークロギングの記録、音声の取得などが行われます。添付ファイルに埋め込まれたペイロードはMSIインストーラーを使って実行され、DLLサイドローディングはLOLBin(Living-off-the-Land Binaries)を通じて行われます。
レジストリの変更やスケジュールされたタスクの作成によって持続性が確保され、システム再起動後もアクセスが維持されます。マルウェアが検知されることを回避するために、AES暗号化でペイロードやスクリプトを難読化し、リフレクティブローディングによって悪意のあるコードをメモリに注入し、ディスクベースの検出を回避します。
C2(コマンド&コントロール)通信では、UUIDベースの登録やCURLの使用により、HTTP経由で信頼性の高いデータ転送を可能にし、正規のトラフィックパターンを模倣した安全な通信チャネルを確立します。認証に利用される識別情報や文書などの機密データは、RATの機能を使って外部に送信されます。
SideCopyは、ソーシャルエンジニアリング、ステルス性の高い持続化手法、データ流出技術を駆使しており、これらの脅威に対抗するためには、メールセキュリティの強化、エンドポイント監視、ネットワーク機器でのジオフィルタリングの実装が必要です。
どうするべきか?
- 環境内のIoC(侵害の痕跡)を監視し、異常を特定する。
- Windows環境を最新の状態に保ち、多要素認証(MFA)を導入する。
- 見落としや改善点を明らかにするため、包括的かつ全方位的な脅威評価を実施する。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories 」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
