イランのサイバー諜報グループMuddyWaterは、合法的なリモート管理ソフトウェアを使用して感染したシステムを制御する手法から、カスタムメイドのバックドア「BugSleep」を導入する新たな攻撃手法に移行している。このグループは、以前はインターネットに露出したサーバーやスピアフィッシングを通じてシステムを感染させ、SimpleHelpやAteraのリモート管理プラットフォームをインストールしていたが、6月には悪意のあるPDFファイルを送信し、Egnyteサービスに保存されたファイルへのリンクを経由して新しいバックドアをインストールする攻撃チェーンに切り替えた。Check Point Softwareによると、MuddyWaterは5月からこのバックドアを使用し、新機能やバグ修正を迅速に追加しているが、新しいバグも導入している。このバックドアは、実行の遅延や暗号化などの典型的なアンチアナリシス戦術を使用しているが、多くの場合、暗号化が適切に実行されていない。
イランは中東で重要なサイバー脅威アクターとなっており、MuddyWaterグループは少なくとも2018年以来、政府機関や重要産業を標的とした悪意のある攻撃を行っている。このグループはイラン情報保安省(MOIS)の一部であり、他のサイバーセキュリティ企業からはEarth Vetala、MERCURY、Static Kitten、Seedworm、TEMP.Zagrosなどとも呼ばれている。MuddyWaterは以前、Powerstatsなどの自作バックドアプログラムを作成していたが、後にリモート管理ソフトウェアの使用に移行していた。攻撃者はファイル共有サービスを悪用して悪意のあるドキュメントをホストすることが増えており、攻撃に使用するためのプラットフォームを提供するのに十分な期間を提供している。MuddyWaterは、イスラエルやサウジアラビアをはじめ、インド、ヨルダン、ポルトガル、トルコ、アゼルバイジャンなど他の国々も攻撃している。
【ニュース解説】
イランのサイバー諜報グループであるMuddyWaterが、新たな攻撃手法としてカスタムメイドのバックドア「BugSleep」を使用し始めたことが報告されました。従来、このグループは合法的なリモート管理ソフトウェアを悪用してシステムを感染させていましたが、最近になって攻撃方法を変更し、悪意のあるPDFファイルを介して新しいバックドアを導入する手法に移行しました。このバックドアは、実行を遅延させることで分析を回避する戦術や暗号化を使用していますが、完全には完成しておらず、暗号化に関する問題やその他のバグが存在することが指摘されています。
この変更は、MuddyWaterがこれまでにない速さで新機能を追加し、バグを修正していることを示していますが、新しいバグも導入しているため、ソフトウェアの開発が急ピッチで行われていることが伺えます。このグループは、イラン情報保安省(MOIS)の一部とされ、中東地域で重要なサイバー脅威アクターとなっています。MuddyWaterは、政府機関や重要産業を標的とした攻撃を少なくとも2018年から行っており、イスラエルやサウジアラビアをはじめとする多くの国々に影響を与えています。
この新しい攻撃手法の導入は、セキュリティベンダーによるリモート管理ツールの監視強化への対応として行われた可能性があります。攻撃者がファイル共有サービスを利用して悪意のあるドキュメントをホストする手法は、攻撃に使用するためのプラットフォームを提供するのに十分な期間を確保するため、ますます人気が出ています。
このような攻撃手法の変更は、サイバーセキュリティの世界において、攻撃者が常に新しい方法を模索し、セキュリティ対策を回避しようとしていることを示しています。BugSleepのようなバックドアの使用は、組織のセキュリティ体制に新たな課題をもたらし、サイバーセキュリティ対策の強化を迫るものです。また、この攻撃手法の変更は、サイバー脅威の進化に対する警戒を怠ることなく、常に最新の脅威情報に注意を払い、適切なセキュリティ対策を講じることの重要性を改めて浮き彫りにしています。
from Iranian Cyber Threat Group Drops New Backdoor, 'BugSleep'.
