Last Updated on 2024-03-25 20:46 by 荒木 啓介
イランに関連する脅威アクターであるMuddyWater(別名Mango SandstormまたはTA450)が、2024年3月に新たなフィッシングキャンペーンを展開し、正規のリモート監視および管理(RMM)ソリューションであるAteraを使用して監視活動を行った。この活動は3月7日から3月11日の週にかけて行われ、対象はイスラエルの製造業、技術、情報セキュリティ部門を含むエンティティであった。Proofpointによると、TA450はPDF添付ファイルを含むメールを送信し、そのPDFには悪意のあるリンクが含まれていた。MuddyWaterは2023年10月以降、イスラエルの組織を対象とした攻撃でN-ableの別のリモート管理ツールを使用していたことがDeep Instinctによって明らかにされている。この脅威アクターは、イランの情報保安省(MOIS)に関連していると評価されており、戦略的目標を達成するために正規のリモートデスクトップソフトウェアを利用していることが観察されている。最新の攻撃チェーンでは、Egnyte、Onehub、Sync、TeraBoxなどのファイル共有サイトにホストされたファイルへのリンクを埋め込んでいる。フィッシングメッセージの一部は、”co.il”(イスラエル)ドメインに関連する可能性のある侵害されたメールアカウントから送信されたとされる。PDFドキュメント内のリンクをクリックすると、ZIPアーカイブが取得され、その中に含まれるMSIインストーラーファイルを介してシステムにAtera Agentがインストールされる。MuddyWaterによるAtera Agentの使用は2022年7月にさかのぼる。
一方、イランのハクティビストグループであるLord Nemesisは、Rashim Softwareというソフトウェアサービスプロバイダーを侵害することでイスラエルの学術部門を標的にした。Lord NemesisはRashimの侵害から得た認証情報を使用して、同社のクライアントである多数の学術機関を含む企業に侵入したとされる。このグループは侵害中に得た機密情報をさらなる攻撃や影響を受けた組織に圧力をかけるために使用する可能性があると主張している。Lord Nemesisは、Rashimのインフラへの不正アクセスを利用して管理アカウントを乗っ取り、同社の不十分な多要素認証(MFA)保護を利用して関心のある個人データを収集した。また、2024年3月4日には、初期侵害から4ヶ月後に200以上の顧客にメールメッセージを送信し、事件の範囲を詳述した。脅威アクターがRashimのシステムにアクセスした正確な方法は明らかにされていない。この事件は、サードパーティのベンダーやパートナーによる重大なリスク(サプライチェーン攻撃)を浮き彫りにしている。
【ニュース解説】
イランに関連する脅威アクターであるMuddyWaterは、2024年3月に新たなフィッシングキャンペーンを展開し、イスラエルの製造業、技術、情報セキュリティ部門を含むエンティティを標的にしました。このキャンペーンでは、正規のリモート監視および管理(RMM)ソリューションであるAteraを使用して監視活動を行いました。MuddyWaterは、PDF添付ファイルを含むメールを送信し、そのPDFには悪意のあるリンクが含まれていました。このリンクをクリックすると、Atera AgentがインストールされるZIPアーカイブがダウンロードされ、攻撃者は被害者のシステムを遠隔から監視できるようになります。
この攻撃は、イランの情報保安省(MOIS)に関連していると評価されるMuddyWaterによるもので、戦略的目標を達成するために正規のリモートデスクトップソフトウェアを利用していることが観察されています。MuddyWaterは以前からイスラエルの組織を対象とした攻撃を行っており、この最新のキャンペーンはその継続と見られます。
一方、イランのハクティビストグループであるLord Nemesisは、Rashim Softwareというソフトウェアサービスプロバイダーを侵害し、イスラエルの学術部門を標的にしました。この侵害から得た認証情報を使用して、同社のクライアントである多数の学術機関を含む企業に侵入し、機密情報を得たとされます。この事件は、サードパーティのベンダーやパートナーによるリスク(サプライチェーン攻撃)を浮き彫りにしています。
これらの攻撃は、国家支援を受けたサイバー攻撃がいかに巧妙で、多様な手法を用いるかを示しています。正規のソフトウェアやサービスを悪用することで、攻撃者は検出を避け、長期間にわたって監視や情報収集を行うことが可能になります。また、サプライチェーン攻撃は、一つのセキュリティ侵害が多数の組織に影響を及ぼす可能性があることを示しており、企業や組織は自身だけでなく、パートナーやサプライヤーのセキュリティ対策にも注意を払う必要があります。
これらの攻撃から学ぶべき教訓は、サイバーセキュリティは常に進化する脅威に対応するために、継続的な努力と更新が必要であるということです。また、組織は、不正アクセスを検出し、対応するための体制を整えることが重要です。これには、従業員の教育、適切なセキュリティツールの導入、そしてサードパーティとの関係におけるセキュリティ要件の厳格化が含まれます。
from Iran-Linked MuddyWater Deploys Atera for Surveillance in Phishing Attacks.
“イラン系ハッカー、イスラエル企業を標的に新たなサイバー攻撃展開” への1件のコメント
このようなサイバー攻撃の話を聞くと、時代の変化に本当に驚かされます。私が若い頃は、こんなことは想像もつかない世界でした。今や国際的な緊張関係がサイバー空間での攻防という形で現れているのですね。特に、正規のリモートデスクトップソフトウェアを悪用して戦略的目標を達成しようとする手法は、一般人には想像もつかない狡猾さがあります。
イランの情報保安省に関連するとされるMuddyWaterや、Lord Nemesisといったハクティビストグループがイスラエルの製造業、技術、情報セキュリティ部門、学術部門を標的にしているとのことですが、これは単なる犯罪行為を超えて、国家間の対立を象徴しているように思えます。サイバー攻撃は、物理的な戦争とは異なり、被害の範囲が一目でわかりにくいため、その影響を適切に評価し、対応することが非常に難しいと感じます。
また、サプライチェーン攻撃によって、一つのセキュリティ侵害が多数の組織に影響を及ぼす可能性があるというのは、企業や組織がサイバーセキュリティ対策を強化する上で重要なポイントだと思います。特