Last Updated on 2024-07-17 04:56 by admin
イランの国家支援ハッカーグループであるMuddyWaterが、中東地域でのサイバー攻撃において、これまでに見られなかった新しいバックドア「BugSleep」を使用していることが確認された。このグループは、従来、正規のリモート監視および管理(RMM)ソフトウェアを使用して持続的なアクセスを維持する戦術で知られていたが、最近の攻撃キャンペーンではその手法から転換している。この新しいマルウェアの発見は、サイバーセキュリティ企業Check PointとSekoiaによる独立した調査結果によるもので、マルウェアはそれぞれBugSleepおよびMuddyRotとコードネームされている。
攻撃の対象となった国には、トルコ、アゼルバイジャン、ヨルダン、サウジアラビア、イスラエル、ポルトガルが含まれる。MuddyWaterは、イランの情報保安省(MOIS)に所属すると評価されている。このグループによるサイバー攻撃は、様々なRMMツールを配布するためのスピアフィッシングメールを利用することが一貫している。しかし、最新の攻撃キャンペーンでは、合法企業の電子メールアカウントが侵害され、スピアフィッシングメッセージを送信するために使用されている。
BugSleepは、C言語で開発されたx64インプラントであり、侵害されたホストから任意のファイルをダウンロード/アップロードする機能、リバースシェルを起動する機能、および永続性を確立する機能を備えている。コマンドアンドコントロール(C2)サーバーとの通信は、ポート443上の生のTCPソケットを介して行われる。MuddyWaterが特別なインプラントを使用するようになった理由は明らかではないが、セキュリティベンダーによるRMMツールの監視の増加が一因であると考えられている。
【ニュース解説】
イランの国家支援ハッカーグループであるMuddyWaterが、中東地域でのサイバー攻撃において、従来の正規のリモート監視および管理(RMM)ソフトウェアを使用する戦術から転換し、新たに「BugSleep」と呼ばれる未知のバックドアを使用していることが確認されました。この変化は、サイバーセキュリティ企業Check PointとSekoiaによって独立して発見されました。攻撃の対象となった国には、トルコ、アゼルバイジャン、ヨルダン、サウジアラビア、イスラエル、ポルトガルが含まれています。
MuddyWaterは、イランの情報保安省に所属するとされるグループであり、これまでにも様々なRMMツールを利用したスピアフィッシングメールを通じてサイバー攻撃を行ってきました。しかし、最新の攻撃キャンペーンでは、BugSleepという新しいバックドアを使用しています。このバックドアはC言語で開発されたx64インプラントであり、侵害されたホストから任意のファイルをダウンロード/アップロードする機能、リバースシェルを起動する機能、および永続性を確立する機能を備えています。
この変更の背景には、セキュリティベンダーによるRMMツールの監視の増加があると考えられています。これにより、MuddyWaterはより検出されにくい手法へと移行した可能性があります。このような戦術の変更は、サイバーセキュリティの世界において、攻撃者が常に新しい方法を模索し、防御側がこれに対応するための新たな戦略を練らなければならないという事実を浮き彫りにしています。
BugSleepの使用は、サイバー攻撃の手法が進化し続けていることを示しており、セキュリティ対策もこれに追従する必要があります。特に、国家支援を受けたハッカーグループによる攻撃は、その目的や手法が多岐にわたるため、対象国や企業は高度なセキュリティ対策と継続的な監視体制を整えることが重要です。また、このような攻撃は国際的な緊張関係を高める要因ともなり得るため、サイバーセキュリティは単なる技術的な問題ではなく、国際政治の文脈でも考慮されるべきです。
from Iranian Hackers Deploy New BugSleep Backdoor in Middle East Cyber Attacks.