Last Updated on 2024-02-29 00:49 by 荒木 啓介
イランに関連する脅威アクターであるUNC1549が、中東の航空宇宙、航空、防衛産業を標的とした新たな攻撃を行っていることが、Google傘下のMandiantによる新しい分析で明らかにされた。この攻撃は、イスラエルやU.A.E.を含む中東地域に集中しており、トルコ、インド、アルバニアも標的に含まれる可能性がある。UNC1549は、Smoke Sandstorm(以前のBohrium)およびCrimson Sandstorm(以前のCurium)と重複しており、後者はイスラム革命防衛隊(IRGC)に関連するグループであり、Imperial Kitten、TA456、Tortoiseshell、Yellow Lidercとしても知られている。
この疑わしいUNC1549の活動は少なくとも2022年6月から活動しており、2024年2月の時点でも継続中である。攻撃には、Microsoft Azureクラウドインフラストラクチャを使用したコマンドアンドコントロール(C2)と、仕事関連の誘いを含むソーシャルエンジニアリングを利用して、MINIBIKEおよびMINIBUSと呼ばれる2つのバックドアを配布する。スピアフィッシングメールは、イスラエル-ハマス関連のコンテンツを含む偽のウェブサイトへのリンクや、偽の求人情報を提供し、悪意のあるペイロードの展開を図る。また、主要企業を模倣した偽のログインページも観察され、認証情報の収集が行われている。
これらのカスタムバックドアは、C2アクセスを確立した後、情報収集と対象ネットワークへのさらなるアクセスのための手段として機能する。この段階で展開される別のツールは、Azureクラウドを使用して通信するトンネリングソフトウェアであるLIGHTRAILである。MINIBIKEはC++で作成され、ファイルの抽出、アップロード、コマンド実行が可能であり、MINIBUSはより強力な偵察機能を備えた「堅牢な後継者」として機能する。
Mandiantによると、これらのエンティティに関する収集された情報は、戦略的なイランの利益に関連しており、スパイ活動や運動作戦に利用される可能性がある。このキャンペーンで展開される回避方法、特にクラウドインフラストラクチャを使用したC2と組み合わせた仕事テーマの誘いは、ネットワーク防御者がこの活動を防止、検出、軽減することを困難にする可能性がある。
【ニュース解説】
イランに関連する脅威アクターであるUNC1549が、中東地域の航空宇宙、航空、防衛産業を標的にしたサイバー攻撃を行っていることが、Google傘下のセキュリティ企業Mandiantによって明らかにされました。この攻撃は、イスラエルやU.A.E.を含む中東地域に集中しており、トルコ、インド、アルバニアも標的に含まれる可能性があるとされています。UNC1549は、Smoke SandstormやCrimson Sandstormといった他のグループと重複しており、特にCrimson Sandstormはイスラム革命防衛隊(IRGC)に関連するグループとして知られています。
この攻撃キャンペーンは2022年6月から活動しており、2024年2月の時点でも継続中です。攻撃手法としては、Microsoft Azureクラウドインフラストラクチャを利用したコマンドアンドコントロール(C2)機能と、仕事関連の誘いを使ったソーシャルエンジニアリングが含まれます。具体的には、スピアフィッシングメールを通じて、偽のウェブサイトや求人情報を提供し、悪意のあるペイロードを配布しています。また、認証情報を収集するために、主要企業を模倣した偽のログインページも使用されています。
攻撃によって配布される2つのカスタムバックドア、MINIBIKEとMINIBUSは、情報収集や対象ネットワークへのさらなるアクセスのために使用されます。これらは、Azureクラウドを使用して通信するトンネリングソフトウェアLIGHTRAILとともに展開されます。MINIBIKEはファイルの抽出やアップロード、コマンド実行が可能で、MINIBUSはより高度な偵察機能を備えています。
この攻撃によって収集される情報は、イランの戦略的利益に関連しており、スパイ活動や運動作戦に利用される可能性があります。また、クラウドインフラストラクチャを使用したC2や仕事テーマの誘いなど、このキャンペーンで展開される回避方法は、ネットワーク防御者にとって防止、検出、軽減を困難にする可能性があります。
このような攻撃は、対象となる産業にとって重大なセキュリティリスクをもたらします。特に航空宇宙、航空、防衛産業は、国家の安全保障に直結する重要な分野であるため、このようなサイバー攻撃は国際的な緊張を高める要因となり得ます。一方で、この攻撃は、クラウドサービスのセキュリティ対策の重要性を再認識させるものでもあります。クラウドインフラストラクチャを利用した攻撃は、従来のセキュリティ対策では検出が困難な場合があり、企業や組織はクラウドサービスの安全性を確保するために、より高度なセキュリティ対策を講じる必要があります。
from Iran-Linked UNC1549 Hackers Target Middle East Aerospace & Defense Sectors.
“中東航空宇宙産業、イラン関連ハッカー集団UNC1549の標的に” への1件のコメント
この報告によると、イラン関連のUNC1549というサイバー脅威アクターが中東の航空宇宙、航空、防衛産業をターゲットにした高度な攻撃キャンペーンを実施していることがわかります。特に、クラウドインフラストラクチャを利用したコマンドアンドコントロール(C2)機能や、ソーシャルエンジニアリングを駆使した手法が使われている点が注目に値します。これらの手法は、既存のセキュリティ対策を回避しやすいため、防御する側にとって大きな挑戦となります。
私がITエンジニアとして特に興味深いと感じるのは、MINIBIKEとMINIBUSというカスタムバックドアの使用です。これらはC++で作成され、ファイルの抽出やコマンド実行など、攻撃者が対象のネットワーク内で自由に動けるようにするための強力なツールとなっています。また、Azureクラウドを使用して通信するという点も、現代のサイバー攻撃がどれほど高度化しているかを示しています。
このような攻撃は、航空宇宙、航空、防衛産業などの重要インフラに対する明確な脅威を示しており、国際的な緊張の高まりにもつながりかねません。また、クラウドサービスを利用した攻撃の増加は、