B
今週中
パキスタンに関連する脅威アクター「SideCopy」が、アフガニスタンの財務省および地方政府職員を標的としたスピアフィッシングキャンペーン「Operation…
📌 一言でいうと
パキスタンに関連する脅威アクター「SideCopy」が、アフガニスタンの財務省および地方政府職員を標的としたスピアフィッシングキャンペーン「Operation XENOFISCAL」を展開しています。攻撃者はパシュトー語のファイル名を持つ悪意のあるLNKファイルをZIPアーカイブに含めて送信し、オープンソースのXeno RATを感染させます。この攻撃は、標的環境の言語的特性を熟知した高度なサイバー諜報活動であると考えられています。
🔍該当判定
- アフガニスタン政府機関や財務省に関連する業務を行っている
- パシュトー語(アフガニスタンの公用語)で書かれたメールやファイルを日常的に受信する
- パキスタンに関連する政治的・経済的な機密情報を扱っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なZIPファイルやLNKファイルの開封を禁止し、特に身に覚えのない送信元からのパシュトー語などの現地語を用いたファイルに注意してください。また、エンドポイントでのLNKファイルの実行制限や、不審なプロセスの監視を強化してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なメールの添付ファイル開封に関する注意について
お疲れさまです。情報システム担当です。
現在、政府機関などを標的に、巧妙に偽装された添付ファイルを用いてウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元から届いたメールの添付ファイル(特にZIP形式やショートカットファイル)は絶対に開かないでください。
2. 万が一、不審なファイルを開いてしまった場合は、すぐにネットワークから切り離し、情報システム担当まで報告してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
現在、政府機関などを標的に、巧妙に偽装された添付ファイルを用いてウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. 心当たりのない送信元から届いたメールの添付ファイル(特にZIP形式やショートカットファイル)は絶対に開かないでください。
2. 万が一、不審なファイルを開いてしまった場合は、すぐにネットワークから切り離し、情報システム担当まで報告してください。
対応期限: 本日中
Subject: [Security Alert] Caution Regarding Suspicious Email Attachments
Dear employees,
We have observed an increase in targeted phishing attacks using deceptive attachments to infect systems with malware.
Requested Actions:
1. Do not open attachments (especially ZIP archives or LNK shortcut files) from unknown or untrusted senders.
2. If you have accidentally opened a suspicious file, please disconnect your device from the network and report it to the IT security team immediately.
Deadline: Immediate
Dear employees,
We have observed an increase in targeted phishing attacks using deceptive attachments to infect systems with malware.
Requested Actions:
1. Do not open attachments (especially ZIP archives or LNK shortcut files) from unknown or untrusted senders.
2. If you have accidentally opened a suspicious file, please disconnect your device from the network and report it to the IT security team immediately.
Deadline: Immediate
件名: 【共有】SideCopyによるXeno RATを用いたキャンペーンについて
お疲れさまです。SideCopyによる新たな攻撃キャンペーンに関する情報共有です。
■ 概要
パキスタン系のAPTグループSideCopy(Transparent Tribe/APT36)が、アフガニスタン政府を標的にXeno RATを配布する「Operation XENOFISCAL」を展開しています。パシュトー語で偽装されたLNKファイルをZIPに格納して配信する手法が用いられています。
■ 影響範囲
- アフガニスタン政府機関(財務省、地方政府職員)
- Xeno RATが動作するWindows環境
■ 対応手順
1. エンドポイントにおいて、不審なLNKファイルの実行を監視・制限する設定を確認してください。
2. Xeno RATの通信挙動(C2通信)に関するIOCが公開され次第、FW/IDS/IPSにてブロック設定を検討してください。
3. ユーザーに対し、標的型メールへの警戒を促す周知を行ってください。
■ 参考情報
- Seqrite Labs Technical Breakdown
対応優先度: 中
対応期限: 随時
お疲れさまです。SideCopyによる新たな攻撃キャンペーンに関する情報共有です。
■ 概要
パキスタン系のAPTグループSideCopy(Transparent Tribe/APT36)が、アフガニスタン政府を標的にXeno RATを配布する「Operation XENOFISCAL」を展開しています。パシュトー語で偽装されたLNKファイルをZIPに格納して配信する手法が用いられています。
■ 影響範囲
- アフガニスタン政府機関(財務省、地方政府職員)
- Xeno RATが動作するWindows環境
■ 対応手順
1. エンドポイントにおいて、不審なLNKファイルの実行を監視・制限する設定を確認してください。
2. Xeno RATの通信挙動(C2通信)に関するIOCが公開され次第、FW/IDS/IPSにてブロック設定を検討してください。
3. ユーザーに対し、標的型メールへの警戒を促す周知を行ってください。
■ 参考情報
- Seqrite Labs Technical Breakdown
対応優先度: 中
対応期限: 随時
Subject: [Threat Intel] SideCopy Campaign deploying Xeno RAT
Dear Security Team,
This is a technical update regarding a new campaign by the Pakistan-linked actor SideCopy (Transparent Tribe/APT36).
■ Overview
Operation XENOFISCAL targets Afghan government officials using spear-phishing emails. The attack chain involves a ZIP archive containing a malicious LNK file (named in Pashto) which subsequently deploys the Xeno RAT.
■ Scope
- Afghan Ministry of Finance and provincial government employees
- Windows-based endpoints
■ Mitigation Steps
1. Review and restrict the execution of LNK files from untrusted sources on endpoints.
2. Monitor for Xeno RAT C2 communication patterns and implement blocks on FW/IDS/IPS as IOCs become available.
3. Conduct targeted awareness training for users regarding spear-phishing lures.
■ Reference
- Seqrite Labs Technical Breakdown
Priority: Medium
Deadline: Ongoing
Dear Security Team,
This is a technical update regarding a new campaign by the Pakistan-linked actor SideCopy (Transparent Tribe/APT36).
■ Overview
Operation XENOFISCAL targets Afghan government officials using spear-phishing emails. The attack chain involves a ZIP archive containing a malicious LNK file (named in Pashto) which subsequently deploys the Xeno RAT.
■ Scope
- Afghan Ministry of Finance and provincial government employees
- Windows-based endpoints
■ Mitigation Steps
1. Review and restrict the execution of LNK files from untrusted sources on endpoints.
2. Monitor for Xeno RAT C2 communication patterns and implement blocks on FW/IDS/IPS as IOCs become available.
3. Conduct targeted awareness training for users regarding spear-phishing lures.
■ Reference
- Seqrite Labs Technical Breakdown
Priority: Medium
Deadline: Ongoing