フーシ系の新興サイバー脅威、アラブのAndroidユーザーを標的に
アラビア半島の様々な組織を標的としたサイバースパイキャンペーンは、イエメンのフーシ運動と関係があるとされるハッキンググループ「OilAlpha」に起因するものだとされています。
サイバーセキュリティ企業Recorded Futureは、OilAlphaがWhatsAppなどの暗号化チャットメッセンジャーを使用してターゲットにソーシャルエンジニアリング攻撃を行ったとする技術報告書を発表しました。また、URLリンクショートナーも活用していました。被害者学的評価に基づき、標的となった団体の大半は、Android端末を使用するアラビア語話者であると判断されました。
Recorded Futureは、2022年4月以降、これまでTAG-41とTAG-62として識別されていた2つの相互接続クラスターにOilAlphaという名称を与えています。TAG-XX(Threat Activity Group)は、新興の脅威グループに使用される仮称です。
敵対者の行動がフーシ派に起因することは、攻撃インフラがフーシ派支配下のイエメンの通信サービスプロバイダーであるPublic Telecommunication Corporation(PTC)と主に関連しているという事実によって裏付けられています。しかし、PTCの資産が継続して使用されていることから、正体不明の第三者による侵害の可能性を完全に排除することはできません。Recorded Futureは、この可能性を裏付ける証拠を見つけられませんでした。
また、サウジアラビア政府主導の交渉に参加する個人を監視するために、悪意のあるAndroidアプリが使用されていたことも注目すべき点です。これらのアプリケーションは、サウジアラビア政府とU.A.E.の人道支援団体に関連するエンティティになりすました。
OilAlphaが開始した攻撃キャンペーンは、政治家、メディア関係者、ジャーナリストなどの潜在的なターゲットが、サウジアラビアの電話番号を使ったWhatsAppアカウントから直接APKファイルを受け取るところから始まります。このアプリは、ユニセフ、NGO、救援組織のものであるかのように偽装しています。これらのアプリは、SpyNote(SpyMaxとも呼ばれる)として知られるリモートアクセス型トロイの木馬の配信メカニズムとして機能し、感染したデバイスから機密情報を収集する多数の機能を有している。
Recorded Futureは、アラビア半島地域でAndroid端末が多く普及していることを考えると、Android端末を標的にすることは驚くべきことではないと説明しています。
また、SpyNoteに加えて、njRAT(別名Bladabindi)のサンプルがOilAlphaに関連するコマンド&コントロール(C2)サーバと通信しているのを確認し、彼らの作戦にデスクトップ型マルウェアが同時に使用されていることを示しました。
Recorded Futureが提唱する仮説では、OilAlphaはスポンサーとなる団体、特にイエメンのフーシ派に代わって攻撃を行うというものです。OilAlphaは、フーシ派と直接提携しているか、契約当事者として活動している可能性があります。
OilAlphaの活動はフーシ運動の利益と一致するが、この脅威の活動にイエメンの工作員を直接関与させる証拠は不十分である。レバノンやイラクのヒズボラ、あるいはIRGCを支援するイランの工作員など、外部の脅威主体がこれらの攻撃を主導している可能性はもっともである。
私について:
東京を拠点にサイバーセキュリティの実践スペシャリストとして活動しています。私の日本語は完璧ではありませんが、あなたと快適に話すことができます。ここで私を見つけることができます -
LinkedIn - https://www.linkedin.com/in/arpitjain099/
GitHub - https://github.com/arpitjain099
私はこのブログを情熱的なプロジェクトとして運営しています。コーヒーを買うことで、私の仕事をサポートすることができます - https://www.buymeacoffee.com/arpitjain099