イランの支援を受けたハッキング・グループ「MuddyWatter」は、感染したシステム上でファイルを盗んだりコマンドを実行したりするために、カスタムメイドの新しいマルウェア・インプラントを使用するように部分的に切り替えた。
BugSleepと名付けられたこの新しいバックドアは、現在も活発に開発が進められており、Check Point Researchのアナリストによって、巧妙に作られたフィッシング・ルアー経由で配布されているところを発見されました。
このキャンペーンでは、ウェビナーやオンライン・コースへの招待を装ったフィッシング・メールを介してマルウェアを送り込みます。このメールは、標的をEgnyteセキュア・ファイル共有プラットフォーム上でホストされている悪意のあるペイロードを含むアーカイブにリダイレクトします。
また、Microsoft Edge、Google Chrome、AnyDesk、Microsoft OneDrive、PowerShell、Operaなど、いくつかのアプリケーションのアクティブプロセスにインジェクションするように設計されたカスタムマルウェアローダーが付属しているバージョンも確認されています。
「チェック・ポイントは、「私たちは、このマルウェアが複数のバージョンで配布されていることを発見しました。「これらのアップデートは、サンプルとサンプルの間に短い間隔で行われており、試行錯誤が行われていることがうかがえます。
BugSleepに切り替えたことで、MuddyWatterは、被害者のネットワークへのアクセスを維持するために、Atera AgentやScreen Connectのような正規のリモート管理ツール(RMM)のみを使用していた状況から切り替えた。
この新しいマルウェアを使った攻撃は、政府組織や自治体から航空会社や報道機関に至るまで、世界中の幅広いターゲットに焦点を当てており、イスラエルをはじめ、トルコ、サウジアラビア、インド、ポルトガルの一部を標的としている。
イラン情報機関のハッカーであることが露呈
MuddyWatter(EarthVetala、MERCURY、Static Kitten、Seedwormとしても追跡されている)は2017年に初めて目撃された。主に中東の事業体(イスラエルの標的を中心に)を標的とし、継続的に兵器をアップグレードしていることで知られている。
他の国家が支援するハッキング・グループと比べると比較的新しいが、このイランの脅威グループは非常に活発で、電気通信、政府(ITサービス)、石油産業組織など多くの産業分野を標的としている。
表面化して以来、中央アジアや南西アジアの政府機関や防衛機関、北米、ヨーロッパ、アジアの組織に対するサイバースパイ活動へと攻撃を徐々に拡大している[1,2,3]。
2022年1月、米サイバー軍(USCYBERCOM)は、MuddyWatterをイランの主要な政府情報機関であるイラン情報安全保障省(MOIS)と公式に関連付けた。
その1カ月後、米国と英国のサイバーセキュリティおよび法執行機関は、MuddyWaterの新たなマルウェアを暴露しました。このマルウェアは、Small Sieveと名付けられた新たなPythonバックドアで、侵害されたネットワーク内で永続性を維持し、検出を回避するために導入されました。
Comments