複数ライセンス割引見積
脅威データベース バックドア MiniFastバックドア

MiniFastバックドア

バックドア, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

イラン革命防衛隊と関連があるとされる、イラン政府支援の脅威アクター「ニンバス・マンティコア」(別名「スクリーニング・サーペンス」および「UNC1549」)は、2026年2月の米イスラエルによるイランへの共同攻撃後、米国、欧州、中東の組織に対するサイバー攻撃を強化している。このグループは、高度化する侵入技術とマルウェア配信手法を用いて、航空業界とソフトウェア業界の企業を標的にしている。

セキュリティ研究者らは、最新の攻撃キャンペーンを以前の活動と区別するいくつかの運用上の変更点を特定した。これには、MiniFastと呼ばれる新しいバックドアの導入、AppDomainハイジャックの利用拡大、そして偽のソフトウェアダウンロードポータルを通じて被害者を感染させるためのSEOポイズニングへの戦略的な転換などが含まれる。アナリストらはまた、人工知能による開発支援がマルウェアの作成を加速させた可能性を示唆する兆候も発見した。

偽の求人情報から検索エンジンの操作まで

Nimbus Manticoreはこれまで、防衛、航空、通信分野を標的とし、キャリアをテーマにしたフィッシングキャンペーン(一般に「イランの夢の仕事」作戦と呼ばれる)を仕掛けてきた。その戦術は、北朝鮮の脅威アクターが長年行ってきたソーシャルエンジニアリング作戦「オペレーション・ドリームジョブ」と酷似している。

2026年2月から4月にかけて、同グループは3つの異なる作戦波を中断することなく実行し、地域紛争中に積極的な作戦ペースを示した。

2026年2月、サウジアラビアとオーストラリアの航空およびソフトウェア関連企業の従業員が、OnlyOfficeにホストされたZIPアーカイブを含む不正な求人情報を受け取った。アーカイブ内の無害な実行ファイルを開くと、AppDomainハイジャックが発生し、最終的にMiniJunkマルウェアDLLが展開された。

2026年3月、攻撃者は同様の感染経路を採用したが、その過程にトロイの木馬化されたZoomインストーラーを組み込んだ。このマルウェアは偽の会議招待状を通じて拡散され、最終的に新たに発見されたMiniFastバックドアをインストールしたと考えられる。

2026年4月、ニンバス・マンティコアはSEOポイズニング技術を用いることで、全く異なる戦略を導入した。運営者はOracle SQL Developerを装った偽のダウンロードページを作成し、サイトの認知度を高めるために多数の補助ドメインを登録することで、BingとDuckDuckGoの検索エンジンランキングを操作した。

これは、このグループが従来の標的型フィッシングを放棄し、検索エンジンを利用したマルウェア配布に切り替えた最初の事例となった。攻撃者は、電子メールで直接標的を狙うのではなく、開発者やIT担当者がオンラインでよく使われるソフトウェアを検索するのを待ち、感染したインストーラーを配布した。

MiniFastのバックドアが技術的能力の拡大を明らかに

MiniFast(別名MiniUpdate)は、Nimbus Manticoreのマルウェア群における大きな進歩を示すものです。研究者らは、このマルウェアを、永続的なアクセス、リモートコマンド実行、および長期的なスパイ活動のために設計された、多機能なバックドアであると説明しています。

マルウェアはコマンドループに入る前に、HTTP経由で基本的なシステム情報をコマンド&コントロールインフラストラクチャに送信します。その後、命令を継続的に取得し、実行結果をアップロードし、ファイルを外部に送信し、追加のペイロードをダウンロードします。

バックドアは、以下のような幅広い機能をサポートしています。

  • ファイル操作とディレクトリ列挙
  • PIDによるプロセス一覧表示と強制プロセス終了
  • cmd.exe を介したリモートコマンド実行
  • DLLの読み込みとZIPアーカイブの作成
  • 予定されたタスクを粘り強くこなす
  • 「runas」コマンドを使用した権限昇格
  • ビーコン間隔を調整可能、ジッターを構成可能で通信をランダム化

研究者らはまた、AI支援型コーディングツールがマルウェアの開発に貢献した可能性を示す兆候も確認した。その証拠としては、異常に冗長なエラー処理、過剰な防御的プログラミングロジック、反復的な命名規則、非常に詳細なデバッグスタイルのステータスメッセージ、そしてこの規模と複雑さのマルウェアとしては異例なモジュール式のコード構造などが挙げられる。

紛争がサイバー作戦の迅速化と拡大を加速させる

サイバーセキュリティ専門家らは、これらの攻撃キャンペーンはニンバス・マンティコアの作戦上の大きな進化を示していると考えている。同グループは、活発な地政学的紛争の最中であっても活動を減速させるどころか、活動のペースと高度化の両方を拡大させたのだ。

進行中の作戦の最中に新たに開発されたバックドアが迅速に展開されたことは、マルウェア開発サイクルの加速を示唆しており、人工知能ツールによって支援されている可能性もある。同時に、標的型フィッシングからSEOポイズニングへの移行は、中東における従来の諜報活動を中心とした侵入行為を超えた、より広範な野心を反映している。

Nimbus Manticoreは、フィッシング攻撃、AppDomainのハイジャック、AIを活用したマルウェア開発、検索エンジンの操作を複数のキャンペーン波にわたって組み合わせることで、地政学的に不安定な時期に急速に進化できる、高度に適応性の高い脅威モデルを実証した。

トレンド

信頼できるデバイスと場所を認識するセキュリティアップデート メール詐欺

フィッシング, スパム
緊急対応を求める予期せぬメールは、特にアカウントのセキュリティ警告や個人情報の確認を求める内容の場合は、常に慎重に扱う必要があります。サイバー犯罪者は、受信者を騙して機密情報を漏洩させるために、フィッシングメールを公式通知に見せかけることがよくあります。「信頼できるデバイスと場所を認識するためのセキュリティアップデート」というメールは、そのような詐欺キャンペーンの一環であり、いかなる正当な企業、組織、またはメールサービスプロバイダーとも関係ありません。 公式警告を装った不正なセキュリティ通知 「信頼できるデバイスと場所を認識するためのセキュリティアップデート」詐欺は、メールプロバイダーや...

Avantis (AVNT) エアドロップ詐欺

不正なウェブサイト
サイバーセキュリティ研究者らは、claim.avantishub.orgが偽の「$AVNTトークンエアドロップ2」キャンペーンを宣伝する不正な暗号通貨ウェブサイトであることを特定した。このページは、正規のAvantisプラットフォームになりすまし、ユーザーを騙して暗号通貨ウォレットを接続させるように設計されている。ウォレットが接続されると、悪意のある暗号通貨窃盗プログラムが起動し、攻撃者がデ...

Aibrowseruodate.com

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
インターネット閲覧時の注意は、これまで以上に重要になっています。サイバー犯罪者や悪質な広告主は、訪問者を騙して有害な行動を取らせることを目的とした不正ウェブサイトを絶えず作成しています。これらのウェブサイトの多くは、偽のCAPTCHA認証、偽のマルウェア警告、正規のセキュリティソフトウェアや信頼できるサービスからのものに見せかけた偽のセキュリティ警告など、誤解を招くような手口を利用しています...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
30,317
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
26,768
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Eporner.com

問題
21,310
インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
読み込んでいます...