Cisco Talos Intelligence Groupは6月13日(米国時間)、「Operation Celestial Force employs mobile and desktop malware to target Indian entities」において、2018年から継続的に実行されているマルウェアを配布するサイバー攻撃のキャンペーン「Operation Celestial Force」に関する最新の分析結果を伝えた。このキャンペーンは主にインド政府および防衛関連組織や個人を標的にしており、パキスタンの脅威アクターにより運営されていると推測されている。
Operation Celestial Force employs mobile and desktop malware to target Indian entities
Cosmic Leopardは、初期感染を行う際、スピアフィッシング攻撃とソーシャルエンジニアリング攻撃を実行するとされる。最近はソーシャルネットワーキングサービス(SNS: Social networking service)を介して標的に接触し、信頼関係を構築してからGravityRATまたはマルウェアローダー「HeavyLift」を配布する戦術を使用している。
マルウェアローダー「HeavyLift」の配布サイト 引用:Cisco Talos
配布するマルウェアは標的ごとに最適なものを選択しているとみられ、モバイルデバイスに対してはAndroid版のGravityRAT、Windowsに対してはGravityRATまたはHeavyLift、macOSに対してはHeavyLiftを使用する。いずれのマルウェアも攻撃者のコマンド&コントロール(C2: Command and Control)サーバに接続し、管理インタフェース「GravityAdmin」を通じて操作する。