チェック・ポイント・ソフトウェア・テクノロジーズの脅威インテリジェンス部門であるチェック・ポイント・リサーチ(CPR)は11月21日、サイバースパイ活動にElizaRATと呼ばれる高度なマルウェアが使用されていることを確認したことを発表した。その概要は以下のとおり。
■ハイライト:
・最近のサイバー攻撃において、Transparent Tribe(別名APT36)は、ElizaRATと呼ばれる、より高度化したマルウェアを使用している。
・CPRの調査では、ElizaRATは2023年9月に発見されて以降、進化を追跡し、実行方法、検知回避能力、コマンド&コントロール通信において、大きな進化を遂げていることが判明した。
・ElizaRATを使用した一連の攻撃では、マルウェアに感染したパソコンがインド標準時に設定されているかどうかを確認している。つまり、インド関連のシステムを標的としていることを示唆している。
パキスタンと関連があるとされるハッカー集団「Transparent Tribe」、別名APT36は、インド関連の団体を標的にしていることで知られている。この脅威グループの主な目的はサイバースパイ活動であり、これまでに政府機関、外交関係者、軍事施設などを標的にしてきた。
最近では、新たに開発したマルウェア「ElizaRAT」を使用して、インドの組織に対する複数の攻撃を成功させている。CPRは初めてこのマルウェアを検知して以来、その活動を追跡してきたが、時間の経過とともにマルウェアの技術が高度化していることが判明。具体的には、検知回避とコマンド&コントロール機能が強化されている。
レポートでは、ElizaRATの進化の過程を解明し、Transparent Tribeが高度化するこのマルウェアをどのように使って攻撃を仕掛けたのかについて解説している。
関連リンク