Last Updated on 2024-05-21 07:39 by TaTsu
イランの情報省(MOIS)に関連するハッカーグループが、アルバニアとイスラエルに対して破壊的な攻撃を行った。この活動は、サイバーセキュリティ企業Check PointによってVoid Manticoreとして追跡されており、MicrosoftによってStorm-0842(以前のDEV-0842)とも呼ばれている。アルバニアに対する攻撃は2022年7月からHomeland Justiceの名の下で行われ、Cl WiperとNo-Justice(別名LowEraser)と呼ばれる特注のワイパーマルウェアが使用された。同様のワイパーマルウェア攻撃は、2023年10月のイスラエル-ハマス戦争後、BiBiとコードネームされた別のカスタムワイパーを使用して、イスラエルのWindowsおよびLinuxシステムを標的にした。このプロハマスのハクティビストグループはKarmaと名乗っている。
攻撃チェーンは、公開されているツールを利用し、マルウェア展開前の横移動にはリモートデスクトッププロトコル(RDP)、サーバーメッセージブロック(SMB)、ファイル転送プロトコル(FTP)が使用される「直接的で単純」なものである。初期アクセスは、インターネットに面したアプリケーションの既知のセキュリティ欠陥(例:CVE-2019-0604)の悪用によっていくつかのケースで達成される。成功した足掛かりは、Karma Shellと呼ばれる自家製のWebシェルの展開に続く。このWebシェルはエラーページとして偽装されているが、ディレクトリの列挙、プロセスの作成、ファイルのアップロード、サービスの開始/停止/リストアップが可能である。
Void Manticoreは、Scarred Manticore(別名Storm-0861)によって以前に得られたアクセスを利用して自身の侵入を行う疑いがあり、これは2つの脅威アクター間の「引き継ぎ」手順を強調している。この高度な協力は、2022年にアルバニア政府を標的とした攻撃に関するMicrosoftの調査でも以前に強調されており、複数のイランのアクターがそれに参加し、異なるフェーズに責任があることが指摘されている。Storm-0861は初期アクセスを獲得しデータを抽出し、Storm-0842はランサムウェアとワイパーマルウェアを展開し、Storm-0166はデータを抽出し、Storm-0133は被害者のインフラを調査した。
Storm-0861は、APT34(別名Cobalt Gypsy, Hazel Sandstorm, Helix Kitten, OilRig)として知られるイランの国家支援グループ内の下位要素であると評価されており、ShamoonおよびZeroCleareワイパーマルウェアで知られている。イスラエルとアルバニアに対する攻撃で使用された技術の重複、および2つの異なるアクター間の調整を含む、このプロセスが定例化されていることが示唆されている。
【編集者追記】用語解説
- MOIS (Ministry of Intelligence and Security): イランの情報省。イランのサイバー攻撃部隊を統括する情報機関です。Storm-0842: イランのハッカー集団の一つ。2022年のアルバニア政府機関へのサイバー攻撃を主導したとされています。
- Cl Wiper: 2022年のアルバニア政府機関へのサイバー攻撃で使用された、データ消去型のマルウェアです。
- No-Justice: イスラエルに対するサイバー攻撃を行うイラン関連のハッカー集団です。
- CVE-2019-0604: 2019年に発見されたMicrosoftのWindows OSの脆弱性。イランのハッカー集団がこの脆弱性を悪用していたとされています。
- Storm-0861: イランのハッカー集団の一つ。2022年にイスラエルの企業をサイバー攻撃した疑いがあります。
【参考リンク】
「サイバーテック・グローバル・テルアビブ」開催、軍事衝突以降サイバー攻撃が3倍に(ジェトロ:外部)
【関連記事】
イラン国家支援ハッカー、米国企業数十万アカウント侵害の衝撃
イラン系ハッカー、イスラエル企業を標的に新たなサイバー攻撃展開
イラン関連のサイバーセキュリティ記事をinnovaTopiaでもっと読む
【ニュース解説】
イランの情報省(MOIS)に関連するハッカーグループが、アルバニアとイスラエルに対して破壊的なサイバー攻撃を行ったとされています。この活動は、サイバーセキュリティ企業Check Pointによって「Void Manticore」という名前で追跡され、Microsoftからは「Storm-0842」とも呼ばれています。アルバニアに対する攻撃は2022年7月から「Homeland Justice」という名前で行われ、特注のワイパーマルウェア「Cl Wiper」と「No-Justice」が使用されました。一方、イスラエルでは2023年10月のイスラエル-ハマス戦争後に「BiBi」というコードネームのワイパーマルウェアを使用した攻撃が行われました。これらの攻撃は、プロハマスのハクティビストグループ「Karma」によるものです。
攻撃手法には、公開されているツールを利用し、リモートデスクトッププロトコル(RDP)、サーバーメッセージブロック(SMB)、ファイル転送プロトコル(FTP)を使った横移動が含まれます。初期アクセスは、インターネットに面したアプリケーションの既知のセキュリティ欠陥を悪用することで達成されることがあります。成功した足掛かりの後、Karma Shellと呼ばれる自家製のWebシェルが展開され、これによりディレクトリの列挙、プロセスの作成、ファイルのアップロード、サービスの開始/停止/リストアップが可能になります。
Void Manticoreは、別のハッカーグループであるScarred Manticore(Storm-0861)によって以前に得られたアクセスを利用して侵入を行う疑いがあります。これは、2つの脅威アクター間での「引き継ぎ」手順を示しており、高度な協力を示唆しています。このような協力は、アルバニア政府を標的とした攻撃に関するMicrosoftの調査でも強調されており、複数のイランのアクターが参加し、異なるフェーズに責任があることが指摘されています。
このニュースは、国家支援を受けたサイバー攻撃の複雑さと、異なるグループ間での協力の深さを示しています。攻撃の対象となった国々にとっては、重要なインフラやデータが破壊されるリスクが高まり、国家安全保障に対する脅威となります。また、サイバーセキュリティの専門家や政府機関にとっては、このような攻撃を防ぐための対策を強化する必要性が高まっています。長期的には、国際的な協力と情報共有の強化、サイバーセキュリティ対策の向上、そして国際法に基づく行動規範の確立が求められています。
from Iranian MOIS-Linked Hackers Behind Destructive Attacks on Albania and Israel.
