APT攻撃グループ「Tropic Trooper」の中東におけるサイバースパイ活動の実態

APT攻撃グループ「Tropic Trooper」最新のサイバースパイ活動を検証

Kasperskyのグローバル調査分析チーム（GReAT）が発表した内容によると、長年にわたり活動を続けているAPT攻撃グループ「Tropic Trooper」（別名：KeyBoy、Pirate Panda）が中東での攻撃を強化しています。特に、2023年6月以降、中東のある政府機関を標的としたサイバースパイ活動が確認されており、その手法や戦術が注目を集めています。

Tropic Trooperの概要と歴史

Tropic Trooperは、2011年から活動しているAPT攻撃グループで、当初はアジア太平洋地域の台湾やフィリピン、香港の政府機関や医療、ハイテク産業をターゲットにしてきました。最近の調査では、彼らが中東の政府機関に対する持続的な攻撃活動を行っており、その戦略に変化が見られるとされています。

中東における新たな攻撃手法

新たに発見された攻撃活動では、Tropic Trooperは「China Chopper」と呼ばれる悪意のあるWebシェルを使用しています。このスクリプトは、標的ネットワークに不正アクセスした後もその環境内に留まるためのもので、特にオープンソースのコンテンツ管理システム（CMS）であるUmbraco CMSに埋め込まれています。リサーチャーの観察によれば、このカスタマイズされたモジュールには、難読化やダイナミックなコマンド実行の能力があることが示されています。

また、Tropic TrooperはDLL検索順序ハイジャックという手法も利用して悪意のあるDLLを読み込ませる攻撃チェーンを構築しています。この手法は、実行ファイルの脆弱性を利用して攻撃を試みるものであり、特に高度な検知回避を狙ったものとみられています。

脅威インテリジェンスへの影響

GReATのシニアセキュリティリサーチャーであるシェリフ・マグディ氏は、Tropic Trooperが政府機関や社会的に重要な組織を狙っていることに注目し、彼らのサイバースパイ活動がどれほど深刻であるかを強調しました。これまでの報告では、Jリーグやハイテク企業に対する攻撃も見受けられ、彼らの戦略は進化し続けています。特に、特定の人権問題を扱う機関への攻撃は、その活動が社会的影響を持つことを示しています。