Hacker

イメージミッドジャーニー

イランのハッキング・グループAPT33は、新しいTicklerマルウェアを使って、米国およびアラブ首長国連邦の政府、防衛、衛星、石油・ガス分野の組織のネットワークにバックドアを仕掛けた。

マイクロソフトのセキュリティ研究者が観測したように、イラン・イスラム革命防衛隊(IRGC)の代理として活動する脅威グループ(Peach SandstormおよびRefined Kittenとしても追跡されている)は、2024年4月から7月にかけて、情報収集キャンペーンの一環としてこの新しいマルウェアを使用しました。

これらの攻撃を通じて、脅威当事者はMicrosoft Azureインフラストラクチャをコマンド・アンド・コントロール(C2)のために活用し、攻撃者が管理する不正なAzureサブスクリプションを使用していました。

APT33は、2024年4月から5月にかけてパスワードスプレー攻撃を成功させ、防衛、宇宙、教育、政府部門の標的組織に侵入しました。これらの攻撃では、アカウントのロックアウトのトリガーを回避するために、一般的に使用されている少数のパスワードを使用して多くのアカウントにアクセスしようとしました。

「マイクロソフトは、Peach Sandstormが教育セクターの侵害されたユーザーアカウントを利用して、運用インフラを調達していることを確認しています。これらのケースでは、脅威者は既存のAzureサブスクリプションにアクセスするか、侵害されたアカウントを使用してインフラをホストするためにサブスクリプションを作成しました」とマイクロソフトは述べています。

彼らが支配権を得たAzureインフラは、政府、防衛、宇宙分野を標的としたその後の作戦で使用された。

APT33 Tickler attack flow
APT33 Ticklerの攻撃フロー(マイクロソフト)

「過去1年間、Peach Sandstormは特注のツールを使って、主に前述の分野の複数の組織への侵害に成功している」とマイクロソフトは付け加えた。

イランの脅威グループは、2023年11月にもこの手口を使って世界中の防衛関連企業のネットワークを侵害し、バックドア型マルウェアFalseFontを展開した。

9月、マイクロソフトは、2023年2月以来、世界中の数千の組織を標的とした大規模なパスワードスプレー攻撃を行い、防衛、衛星、および製薬分野での侵害につながった別のAPT33キャンペーンについて警告した。

マイクロソフトは、フィッシングや乗っ取りの試みからAzureアカウントを保護するため、10月15日からAzureのすべてのサインイン試行に対して多要素認証(MFA)を必須にすると発表した。

同社は以前、MFAによってMFA対応アカウントの99.99%がハッキングの試みに対抗でき、攻撃者が以前に漏洩した認証情報を使用してアカウントへの侵入を試みた場合でも、漏洩リスクを98.56%低減できることを明らかにしている。