サイバースパイの標的、サウジのイスラム慈善団体に未知の脅威「Zardoor」発覚

Last Updated on 2024-02-09 16:50 by

サウジアラビアのイスラム系非営利団体が、未知のバックドア「Zardoor」を使用した巧妙なサイバースパイ活動の標的となっていることが明らかになりました。この活動は、少なくとも2021年3月から続いているとされ、Cisco Talosによって2023年5月に発見されました。これまでに確認された被害団体は1つだけですが、他にも被害者がいる可能性があります。

攻撃者は、被害環境への長期アクセスを維持しながら注目を集めないようにするために、生活の地でのバイナリ（LoLBins）を使用してバックドアを展開し、コマンド＆コントロール（C2）接続を確立し、持続性を維持しています。標的となったイスラム慈善団体への侵入は、約2ヶ月に一度のデータの定期的な流出を伴っていました。侵入の初期アクセスベクトルは現在も不明です。

攻撃者は、Zardoorを持続させるために利用された足場を利用し、Fast Reverse Proxy（FRP）、sSocks、Venomなどのオープンソースのリバースプロキシツールを使用してC2接続を確立しました。接続が確立されると、攻撃者はWindows Management Instrumentation（WMI）を使用して横方向に移動し、C2から受信したコマンドを実行することで、ターゲットシステム上でプロセスを生成し、攻撃者のツール（Zardoorを含む）を広めました。

Zardoorは、データの流出、リモートから取得した実行可能ファイルやシェルコードの実行、C2 IPアドレスの更新、ホストからの自己削除が可能です。このキャンペーンの背後にいる脅威アクターの起源は不明であり、現時点で公に報告されている既知の脅威アクターとの戦術的な重複はありませんが、”高度な脅威アクター”の仕業であると評価されています。

【ニュース解説】

サウジアラビアのイスラム系非営利団体が、未知のバックドア「Zardoor」を用いた巧妙なサイバースパイ活動の標的になっていることが発覚しました。この活動は2021年3月から続いており、セキュリティ研究チームであるCisco Talosによって2023年5月に発見されました。このキャンペーンは、被害者の環境に長期間潜伏し、定期的にデータを抜き取ることを目的としています。

攻撃者は、被害者のシステムに気づかれずにアクセスを維持するために、既存のシステムツール（LoLBins）を利用しています。これにより、バックドアの展開、コマンド＆コントロール（C2）接続の確立、持続性の維持が行われました。侵入の初期段階でどのようにしてアクセスが得られたかはまだ不明ですが、攻撃者はZardoorを用いて被害者のシステムに持続的に留まり、データを抜き取っています。

Zardoorバックドアは、データの外部への送信、リモートからのコード実行、C2サーバーのIPアドレスの更新、そして自身をホストから削除する機能を持っています。このキャンペーンの背後にいる脅威アクターは未だ特定されておらず、既知の脅威アクターとの類似点も見られませんが、その技術的な洗練度から高度な脅威アクターによるものと評価されています。

このようなサイバースパイ活動は、対象となる組織にとって重大なセキュリティリスクをもたらします。機密情報が外部に漏洩することで、組織の運営や信頼性に深刻な影響を及ぼす可能性があります。また、この事件は、非営利団体であってもサイバー攻撃の標的になり得ることを示しており、すべての組織がセキュリティ対策を強化する必要があることを強調しています。

長期的な視点では、このような攻撃の検出と防御のために、組織は定期的なセキュリティ監査、従業員のセキュリティ意識の向上、そして既存のセキュリティシステムの更新と強化を行う必要があります。また、サイバーセキュリティコミュニティ内での情報共有と協力も、未知の脅威に対抗する上で重要な役割を果たします。

from Stealthy Zardoor Backdoor Targets Saudi Islamic Charity Organizations.