イランの国家支援ハッカーグループ「Charming Kitten（APT35）」が、既存のマルウェア「BellaCiao」の新しいC++バリアント「BellaCPP」を展開している事実が2024年12月に判明した。

発見の経緯

• ロシアのKaspersky社が、アジアの感染マシンの調査中に発見
• 感染マシンには元のBellaCiaoマルウェアも存在

BellaCiaoの概要

• 2023年4月にルーマニアのBitdefender社が初めて報告
• 追加のペイロードを配信可能なカスタムドロッパー型マルウェア
• 主な標的：アメリカ、中東、インド

BellaCPPの特徴

• ファイル名：adhapl.dll
• 機能：SSHトンネル作成用の別のDLL（D3D12_1core.dll）を読み込む
• BellaCiaoと異なり、Webシェル機能を持たない
• 脅威スコア：10点満点中8.5点

攻撃手法

• Microsoft Exchange ServerやZoho ManageEngineの脆弱性を悪用
• 標的組織ごとにカスタマイズされたマルウェアを使用
• 会社名、サブドメイン、IPアドレスなどをハードコード

開発元グループ情報

• 正式名称：Charming Kitten
• 所属：イランのイスラム革命防衛隊（IRGC）
• 別名：APT35、CALANQUE、CharmingCypress、ITG18、Mint Sandstorm（旧Phosphorus）、Newscaster、TA453、Yellow Garuda

from:Iran’s Charming Kitten Deploys BellaCPP: A New C++ Variant of BellaCiao Malware

【編集部追記】

BellaCiaoマルウェアの進化は、サイバー攻撃の高度化を如実に示しています。当初の.NET版からC++版への移行は、単なる言語の変更以上の意味を持っています。

この新バージョンでは、Webシェル機能を意図的に削除することで、セキュリティ製品の検知を回避しやすくなっています。これは攻撃者が防御側の対策を熟知し、それを巧妙に回避しようとしている証左といえます。

攻撃手法の特徴

特筆すべきは、攻撃対象ごとにカスタマイズされた展開方法です。企業名、サブドメイン、IPアドレスなどを個別にハードコードすることで、より効果的な攻撃を実現しています。

SSHトンネルを利用した通信手法は、正規の通信と見分けがつきにくく、従来の境界型セキュリティでは検知が困難です。

組織への影響

この攻撃は特に、セキュリティ対策が十分でない中小規模の組織にとって大きな脅威となります。システムの更新が遅れている組織や、セキュリティ監視体制が整っていない組織が主な標的となっています。

今後の展望と対策

このような進化型マルウェアへの対応には、従来の「境界防御」だけでは不十分です。特に以下の対策が重要となってきます：

1. 常時監視体制の構築
2. 異常な通信パターンの検知
3. 定期的なセキュリティアップデート

産業界への示唆

このケースは、国家支援型ハッカーグループの技術力が着実に向上していることを示しています。特に、正規のシステムコンポーネントを悪用する手法は、今後さらに増加すると予想されます。

企業のセキュリティ担当者は、このような高度な攻撃に対する新たな防御戦略の構築を迫られています。特に、正規の通信に紛れた不正アクセスの検知能力の向上が急務となっています。

まとめ

テクノロジーの発展は、新たなセキュリティ上の課題も同時にもたらします。しかし、これは技術の進歩を止める理由にはなりません。むしろ、より賢明な対策と、セキュリティ意識の向上が求められているのです。

【用語解説】

• Charming Kitten（APT35）
  イランの国家支援ハッカー組織。「子猫」という愛らしい名前とは裏腹に、極めて危険な攻撃を行う組織です。
• BellaCiao/BellaCPP
  イタリアの抵抗運動の歌「Bella ciao」から名付けられたマルウェア。.NET版からC++版に進化し、より検知が困難になっています。

【参考リンク】

Kaspersky公式サイト（外部）
サイバーセキュリティソリューションを提供する世界的企業。BellaCPPの発見者
Bitdefender公式サイト（外部）
BellaCiaoマルウェアを最初に発見したルーマニアのセキュリティ企業

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む