BAHAMUT APT

BAHAMUT APT 説明

アラビア語で地球を支える構造物を支えるのに役立った巨大な海の怪物であったバハムートは、BlackBerryの研究者によって非常に脅威的なハッカーグループに付けられた名前でした。研究者たちは、さまざまな標的があるため、バハムートは、個人、企業、さらには政府によって雇われた傭兵として機能するAdvanced Persistent Threat(APT)であると信じています。この理論をサポートするもう1つの特徴は、ハッカーが高度にターゲットを絞った精密に作成された攻撃キャンペーンをサポートするために必要なリソースへの驚くべきアクセスです。バハムートの主な焦点は、フィッシング攻撃、クレデンシャルの盗難、および偽情報を広めるAPTグループの活動としては非常に珍しいことです。

バハムートは微調整されたフィッシング攻撃を実行します

そのフィッシング攻撃に対して、バハムートは細部に驚くほどの注意を払っています。ハッカーは特定の個人を標的にしており、場合によっては1年以上続く可能性のある長期間の監視を行っています。ハッカーは、すべての種類のデバイスを攻撃できることも示しています。 Bahamutは、カスタムメイドのWindowsマルウェアを使用するキャンペーンを実施し、さまざまなゼロデイ脆弱性を悪用しましたが、最近の活動には携帯電話やデバイスに対する攻撃が含まれています。ハッカーは、iOSとAndroidの両方に関する深い知識を示しています。彼らは9つの脅威のアプリケーションをAppStoreに直接配置することに成功しましたが、infosecの研究者によって発見された固有の指紋を通じて、Androidアプリケーションの全範囲がそれらに起因する可能性があります。アップルとグーグルによって設定されたセーフガードのいくつかを回避するために、バハムートはプライバシーポリシーと各アプリケーションの書面による利用規約を含む公式に見えるウェブサイトを作成します。 Bahamutによって配布されたすべてのアプリケーションにはバックドア機能がありましたが、それらの特定の機能はアプリケーションごとに異なりました。全体として、脅威となるアプリケーションのセットが、侵害されたデバイスを完全に制御する可能性があります。攻撃者は、デバイスに保存されているファイルタイプを列挙し、目を引いたものを盗み出す可能性があります。さらに、バハムートは次のことができます。

  • デバイス情報にアクセスし、
  • 通話記録にアクセスし、
  • 連絡先にアクセスし、
  • 通話記録とSMSメッセージにアクセスする
  • 通話を録音し、
  • ビデオとオーディオを録音し、
  • GPSの位置を追跡します。

バハムートは偽情報キャンペーンに責任があります

Baahamutの脅迫的な作戦の他の側面は、同じレベルのコミットメントと細部への注意を示しています。 APTグループは、偽の情報を広めることに専念する完全なWebサイトを作成します。それらをより正当なものにするために、ハッカーは偽のソーシャルメディアパーソナリティも作成します。このグループは、かつては合法だったTechsproutsという技術ニュースサイトのドメインを購入し、地政学や業界ニュースから他のハッカーグループやエクスプロイトブローカーに関する記事まで、幅広いトピックを提供するために復活させました。 Techsporutの寄稿者は全員、本物のジャーナリストの写真を撮るハッカーとのアイデンティティを作り上げました。バハムートのいくつかの偽のウェブサイトに共通するトピックは、2020年のシーク教徒の国民投票です。これは2019年以来インドでホットボタンのトピックとなっています。

地域の好みに関しては、バハムートは中東および南アジア地域でより活発になっています。実際、ハッカーは、脅迫的なアプリケーションの一部のダウンロードをアラブ首長国連邦のユーザーのみが利用できるようにリージョンロックしましたが、他のアプリケーションはラマダンをテーマにしたアプリケーションに偽装したり、シークの分離運動にリンクしたりしました。

バハムートは資金が豊富です

バハムートはかなりの時間検出されないままでいることができ、その活動の一部はinfosecの研究者によって取り上げられましたが、それらはEHDevel、 Windshift 、Urpage、WhiteCompanyなどのさまざまなハッキンググループに起因していました。バハムートがこのような運用上のセキュリティを実現できるようになった理由は、各攻撃キャンペーンにかなりの量の作業が費やされ、関連するインフラストラクチャとマルウェアツールを変更する速度が速いためです。また、異なる操作間の持ち越しもありません。 BlackBerryの研究者によると、Windows攻撃のIPアドレスやドメインは、フィッシングやモバイルキャンペーンに使用されておらず、その逆もありません。バハムートはまた、その活動が単一のホスティングプロバイダーに集中しておらず、現在50を超える異なるプロバイダーを採用していることを確認しています。サイバーセキュリティの研究者が指摘しているように、これを達成するには、かなりの労力、時間、およびリソースへのアクセスが必要です。