Last Updated on 2024-02-19 19:37 by admin

イラン起源の脅威アクターであるCharming Kittenは、新しいバックドア「BASICSTAR」を使用して中東政策専門家を狙った新たな攻撃を行っている。このグループは、APT35、CharmingCypress、Mint Sandstorm、TA453、Yellow Garudaとしても知られ、シンクタンク、NGO、ジャーナリストを対象とした社会工学キャンペーンを広範囲に展開している。Microsoftは先月、中東問題に取り組む高プロファイルな個人が、MischiefTutやMediaPl（EYEGLASSとしても知られる）などのマルウェアを展開するためにこの敵対者によって標的にされていることを明らかにした。これらのマルウェアは、侵害されたホストから機密情報を収集する能力を持っている。このグループは、イランのイスラム革命防衛隊（IRGC）に関連していると評価されており、PowerLess、BellaCiao、POWERSTAR（GorjolEchoとしても知られる）、NokNokなど、過去一年間に複数のバックドアを配布してきた。

2023年9月から10月にかけて観察されたフィッシング攻撃では、Charming KittenのオペレーターがRasanah International Institute for Iranian Studies（IIIS）を装って標的との信頼を築き始めた。攻撃チェーンは通常、RARアーカイブに含まれるLNKファイルを起点としてマルウェアを配布し、標的に興味のあるトピックに関する偽のウェビナーに参加するよう促すメッセージを使用する。観察された多段階の感染シーケンスは、BASICSTARおよびKORKULOADER、PowerShellダウンローダースクリプトを展開する。BASICSTARは、基本的なシステム情報を収集し、コマンドアンドコントロール（C2）サーバーから中継されたコマンドをリモートで実行し、偽のPDFファイルをダウンロードして表示する能力を持つVisual Basic Script（VBS）マルウェアである。さらに、これらのフィッシング攻撃の一部は、機械のオペレーティングシステムに応じて異なるバックドアを提供するように設計されている。Windowsの被害者はPOWERLESSで侵害され、Apple macOSの被害者はマルウェアで仕込まれた機能的なVPNアプリケーションを介してNokNokによって最終的に感染する。

Recorded Futureは、IRGCが西側諸国を標的にし、監視および攻撃目的の技術をイラク、シリア、レバノンなどの国々に輸出する専門の契約会社のネットワークを使用していることを明らかにした。情報機関と軍事組織とイランの契約会社との関係は、スポンサーのエンティティを隠すための「ファイアウォール」として機能する様々なサイバーセンターの形を取る。これらには、Ayandeh Sazan Sepher Aria（Emennet Pasargadと関連していると疑われる）、DSP Research Institute、Sabrin Kish、Soroush Saman、Mahak Rayan Afraz、Parnian Telecommunication and Electronic Companyが含まれる。

【ニュース解説】

イラン起源の脅威アクターであるCharming Kittenが、新たなバックドア「BASICSTAR」を用いて中東政策専門家を狙った攻撃を行っていることが明らかになりました。このグループは、APT35、CharmingCypress、Mint Sandstorm、TA453、Yellow Garudaとしても知られ、シンクタンク、NGO、ジャーナリストを含む幅広い対象に対して社会工学キャンペーンを展開しています。

Charming Kittenは、偽のウェビナーポータルを作成することで、標的となる中東政策専門家に接触し、信頼を築く手法を用いています。攻撃チェーンは、RARアーカイブに含まれるLNKファイルを起点とし、標的に興味のあるトピックに関する偽のウェビナーに参加するよう促すメッセージを使用しています。この手法により、BASICSTARやKORKULOADERといったマルウェアが展開されます。

BASICSTARは、基本的なシステム情報の収集、コマンドアンドコントロール（C2）サーバーからのコマンドのリモート実行、偽のPDFファイルのダウンロードと表示が可能なVisual Basic Script（VBS）マルウェアです。また、攻撃はオペレーティングシステムに応じて異なるバックドアを提供するように設計されており、WindowsユーザーはPOWERLESSに、Apple macOSユーザーはNokNokによって感染するリスクがあります。

このような攻撃は、標的の監視と操作を目的としており、Charming Kittenはこれまでにも多数のキャンペーンを展開してきました。これらの攻撃は、イランのイスラム革命防衛隊（IRGC）に関連していると評価されており、西側諸国を標的にした監視および攻撃目的の技術を輸出する契約会社のネットワークを使用しています。

このニュースは、サイバーセキュリティの分野における国家レベルの脅威の深刻さを浮き彫りにしています。特に、政策専門家やシンクタンク、NGO、ジャーナリストなど、公共政策に影響を与える可能性のある個人や組織が、国家支援のサイバー攻撃の標的になり得ることを示しています。このような攻撃は、機密情報の窃取や操作、さらには政策決定プロセスへの干渉を目的としている可能性があり、国際関係や地政学的なバランスに影響を与えるリスクを持っています。

この事態に対処するためには、対象となる組織や個人は、フィッシング攻撃や社会工学的手法に対する警戒を強化し、セキュリティ対策を継続的に更新していく必要があります。また、国際的な協力による情報共有や、サイバーセキュリティ対策の強化も重要です。このような攻撃の検出と防御のためには、最新の脅威情報に基づいた対策が求められます。

from Iranian Hackers Target Middle East Policy Experts with New BASICSTAR Backdoor.

admin

自己紹介の全文を表示