イランのハッカーが、ハイリスクなサイバー攻撃にTicklerマルウェアを導入

世界的なサイバーセキュリティの懸念すべき展開として、イラン政府が支援するハッカーらが、米国とアラブ首長国連邦の重要インフラに侵入して情報を収集するために、 Ticklerと呼ばれる新しいカスタムマルウェアを導入した。この洗練された攻撃活動の背後にいるグループは、マイクロソフトによってPeach Sandstormとして追跡されており、 APT33 、Elfin、Refined Kitten などさまざまな別名でも知られ、標的のセクターから貴重なデータを執拗に追い求めている。

サイバー空間における新たな脅威

Tickler は単なるマルウェアではありません。イランのサイバースパイツールの能力の大幅な向上を表しています。この多段階のバックドアは、侵入されたシステムの奥深くまで潜入するように設計されており、攻撃者はさまざまな悪意のある活動を実行できます。機密システム情報の収集からコマンドの実行やファイルの操作まで、 Tickler は攻撃者にとって多目的なツールとして機能します。

重要なセクターをターゲットにする

この攻撃の主な標的には、衛星、通信、政府、石油・ガス産業の組織が含まれており、これらは米国と UAE 両国の国家安全保障にとって極めて重要な分野です。攻撃者の戦略は明確で、これらの国のインフラで極めて重要な役割を果たす分野を混乱させ、情報を収集することです。

桃砂嵐の絶え間ない脅威

ピーチ サンドストームは、長年にわたって持続的かつ進化する脅威を示してきました。2023 年後半、このグループの活動は活発化し、米国の防衛産業基盤の従業員に重点が置かれるようになりました。彼らのアプローチは技術的なエクスプロイトに限定されず、特に LinkedIn を通じてソーシャル エンジニアリングも活用して、情報を収集し、悪質な計画を実行しています。

ソーシャルエンジニアリングの力

LinkedIn はハッカーにとって貴重なツールであることが証明されており、ハッカーは LinkedIn を利用して説得力のあるソーシャル エンジニアリング攻撃を仕掛け、ターゲットに誤った安心感を与えています。Peach Sandstorm は、プロフェッショナル ネットワーク内の信頼を操作することで、本来なら安全に保たれるはずの防御を効果的に突破します。

武器庫の拡大

Ticklerの使用に加えて、このグループはパスワード スプレー攻撃、つまり弱いパスワードを悪用して複数のアカウントを侵害することを目的とした手法を継続的に使用しています。最近、これらの攻撃は米国とオーストラリアの防衛、宇宙、教育、政府部門で確認されています。

クラウド インフラストラクチャを活用して有害な利益を得る

このキャンペーンの最も憂慮すべき側面の 1 つは、コマンド アンド コントロール操作に不正な Azure サブスクリプションが使用されていることです。正当なクラウド インフラストラクチャを利用することで、ハッカーは活動を隠し、防御側が攻撃を検出して軽減することをより困難にすることができます。

協調的なサイバー攻撃

マイクロソフトのPeach Sandstormに関するレポートのタイミングは注目に値する。イランの諜報活動に関する Google Cloud の Mandiant レポートと、イランの国家支援によるサイバー活動に関する米国政府の勧告と一致しているのだ。これは、イランの攻撃者がサイバー影響力を拡大し、ランサムウェア グループと協力してその影響力を増幅させようとする、より広範で協調的な取り組みを示唆している。

警戒の必要性

イランのハッカーが戦術を進化させ続けているため、組織、特に重要分野の組織は警戒を怠らないことが不可欠です。Ticklerの導入はサイバースパイ活動の新たな章の始まりであり、増大する脅威に対抗するには強力なサイバーセキュリティ対策と国際協力が必要であることを強調しています。

サイバーセキュリティの専門家や組織は、こうした動向を常に先取りし、 Peach Sandstormのような国家が支援する攻撃者によるますます巧妙化する攻撃から身を守る準備を整える必要があります。