Last Updated on 2024-05-22 07:54 by 荒木 啓介
イランの国家支援の脅威アクターが、アルバニアとイスラエルの主要組織に対してスパイ活動と破壊活動を行っている。イラン情報保安省(MOIS)にリンクされているScarred Manticore(別名Storm-861)は、中東およびその他の地域の高価値組織を長期にわたってスパイ活動している。一方、異なるMOISの高度な持続的脅威(APT)であるVoid Manticore(別名Storm-842)は、Scarred Manticoreが確立した初期アクセスを利用して、破壊的なキャンペーンを実施している。
Void Manticoreは、40以上のイスラエル組織を成功裏に標的にし、アルバニアでもいくつかの高プロファイルなキャンペーンを行っている。Scarred Manticoreがスパイ活動を行い、Void Manticoreが破壊活動を担当している。Void Manticoreは、アルバニアに関連するキャンペーンではHomeland Justice、イスラエルに関連するキャンペーンではKarmaという偽の活動家のペルソナを使用している。
Void Manticoreの破壊活動には、基本的かつ公開されているツールを使用し、組織のファイルを標的にして破壊を行う。また、特定のファイルやファイルタイプを破壊するために設計されたカスタムワイパーや、ディスク上のファイルの位置をマッピングするシステムの一部であるパーティションテーブルを破壊するワイパーを保有している。
イランの国家レベルの攻撃に直面する組織は、異なるツール、インフラ、戦術、技術、手順(TTPs)を持つ2つの異なる脅威アクターに対抗することが特に困難である。破壊活動よりもスパイ活動の方が通常は時間がかかるため、初期の脅威に焦点を当てることがより簡単な道かもしれない。Scarred Manticoreは、CVE-2019-0604という5年前の重大なMicrosoft Sharepointの脆弱性を悪用して攻撃を開始することが多い。
【ニュース解説】
イランの国家支援を受けた脅威アクターが、アルバニアとイスラエルの主要組織に対して、高度なスパイ活動と破壊活動を組み合わせた攻撃を行っています。この攻撃は、イラン情報保安省(MOIS)にリンクされる二つの異なるグループ、Scarred Manticore(別名Storm-861)とVoid Manticore(別名Storm-842)によって実行されています。
Scarred Manticoreは、その高度なスパイ活動能力を活かして、中東を含む世界各地の高価値目標を長期にわたり監視しています。このグループは、Liontailと呼ばれる巧妙なファイルレスのマルウェアフレームワークを使用し、組織の電子メールデータをこっそりと抜き取ります。一方、Void Manticoreは、Scarred Manticoreが確立した初期アクセスを利用して、破壊的なキャンペーンを展開します。これには、組織のファイルやシステムを標的にした攻撃や、データを完全にアクセス不能にするためのカスタムワイパーの使用が含まれます。
このような攻撃は、特に二つの異なる脅威アクターが関与することで、被害を受ける組織にとって防御が困難になります。Scarred Manticoreのスパイ活動は時間を要するものの、Void Manticoreによる破壊活動は迅速に実行されるため、攻撃の初期段階でこれらの脅威に対処することが重要です。
Scarred Manticoreが利用するCVE-2019-0604というMicrosoft Sharepointの脆弱性は、既に知られており、適切な対策を講じることで防ぐことが可能です。これは、組織が自身のセキュリティ対策を見直し、特に古いソフトウェアの脆弱性に対するパッチ適用を徹底することの重要性を示しています。
このニュースから浮かび上がるのは、国家支援を受けたサイバー攻撃の複雑さと、それに対抗するためのセキュリティ対策の必要性です。組織は、単一の脅威だけでなく、複数の脅威アクターによる連携した攻撃にも備える必要があります。また、このような攻撃は国際的な緊張関係を反映しており、サイバー空間が現代の地政学的対立の舞台の一つになっていることを示しています。セキュリティ対策の強化だけでなく、国際的な協力と情報共有が、このような脅威に効果的に対処する鍵となるでしょう。
from Iran APTs Tag Team Espionage, Wiper Attacks Against Israel & Albania.
