MuddyViper バックドア
最近のスパイ活動の波は、イスラエルの学術機関、エンジニアリング、地方自治体、製造業、テクノロジー、運輸、公益事業など、幅広い組織を標的としています。イラン政府系アクターによるものとされるこの作戦では、「MuddyViper」と呼ばれるこれまで知られていなかったバックドアが導入され、同グループの戦術が新たなエスカレーションを示唆しています。エジプトに拠点を置くテクノロジー企業1社も標的にされており、このキャンペーンは2024年9月下旬から2025年3月中旬まで実施されます。
目次
能力を拡大するおなじみの敵
これらの攻撃は、イランの情報安全保障省の管轄下にあるとされるグループ「MuddyWater」(別名Mango Sandstorm、Static Kitten、またはTA450)との関連が指摘されています。少なくとも2017年から活動しているMuddyWaterは、以前のPOWERSTATSキャンペーンや「Operation Quicksand」におけるPowGoopランサムウェアの使用など、長年にわたるスパイ活動と破壊活動の実績を有しています。
公表された調査結果によると、このグループはイスラエルの地方自治体、航空輸送、観光、医療サービス、通信ネットワーク、ITプロバイダー、中小企業など多岐にわたる分野を標的に攻撃を続けている。
進化する手口:ソーシャルエンジニアリングからVPNの弱点を悪用するまで
脅威アクターは通常、スピアフィッシングメールと既知のVPN脆弱性の悪用を利用して侵入します。これまで、これらの侵入には正規のリモート管理ツールの導入が伴い、これはMuddyWaterの活動の特徴でした。しかし、2024年5月以降、彼らのフィッシングメールはBugSleep(別名MuddyRot)と呼ばれるステルス性の高いバックドアを配信するようになり、よりカスタマイズされたツールへの移行が見られます。
このグループの武器は広範囲にわたり、Blackout、AnchorRat、CannonRat、Neshta、そしてTreasureBoxやBlackPearl RATなどのローダーの拡散を助けるSad C2フレームワークなどが含まれています。
フィッシングは依然として最初のステップ
最新の攻撃波は、依然としてPDFファイルを添付した悪意のあるメールから始まります。これらのPDFファイルは、Atera、Level、PDQ、SimpleHelpといった広く普及しているリモートツールのダウンロードへと誘導します。攻撃者は、足掛かりを得ると、より特殊なコンポーネントを展開していきます。
FooderとMuddyViperの紹介
このキャンペーンでは、C/C++ベースのMuddyViperバックドアを復号・実行するために構築されたFooderと呼ばれるローダーが目立っています。Fooderの亜種は、go-socks5トンネリングユーティリティやオープンソースのHackBrowserDataツールを配布し、Safariを除く多数のプラットフォームからブラウザデータを収集していることも確認されています。
MuddyViper自体は広範な制御権限を有しており、システム詳細情報の収集、ファイルやコマンドの実行、データの入出力、Windowsの認証情報やブラウザ情報の窃取などが可能です。また、アクセスを秘匿化するために20種類の組み込みコマンドをサポートしています。Fooderの亜種の中には、古典的なSnakeゲームに偽装し、遅延実行によって検出を回避しようとするものもあります。この手法は2025年9月に初めて確認されました。
作戦中に観察された追加ツール
研究者らは、永続化、資格情報の盗難、データ収集のために設計されたいくつかのサポートユーティリティの展開も文書化しました。
VAXOne – Veeam、AnyDesk、Xerox、または OneDrive アップデーターを装ったバックドア。
CE-Notes – ローカル状態暗号化キーを盗んで Chrome のアプリバインド暗号化を回避するように設計されたブラウザデータ盗難ツール。
Blub – Chrome、Edge、Firefox、Opera からログイン データを収集する C/C++ スティーラー。
LP-Notes – 不正な Windows セキュリティ プロンプトを表示してユーザーを騙してログイン詳細を入力させる C/C++ 資格情報収集ツール。
リセウムとの連携:業務上の重複が発生
調査の結果、MuddyWaterの活動は、少なくとも2018年以来地域のサイバースパイ活動を行っているOilRig(APT34)のサブグループであるLyceum(別名Hexane、Spirlin、またはSiamesekitten)の活動と重なっていたことが明らかになった。
2025年初頭に確認されたインシデントにおいて、MuddyWaterはイスラエルの製造組織内で初期アクセスブローカーとして活動し、リモートデスクトップツールとカスタマイズされたMimikatzローダーを展開したと考えられます。その後、Lyceumは窃取した認証情報を利用してアクセス範囲を拡大し、運用を掌握したと考えられます。
運用成熟度の向上の兆候
新しいコンポーネント、特にFooderローダーとMuddyViperバックドアの導入は、MuddyWaterの技術的および運用上の高度化が著しく進んでいることを浮き彫りにしています。同グループは、よりステルス性の高い持続的攻撃メカニズム、より効率的な認証情報窃取、そしてより高度な偵察能力に投資していることは明らかです。
この攻撃は、イランと連携するサイバーオペレーターによる脅威が継続的かつ拡大していることを浮き彫りにしています。カスタムマルウェア、ステルス型ローダー、正規のリモート管理ツール、そしてグループ間の連携といった手法が巧妙に組み合わさっていることから、この地域の組織は警戒を強め、ますます複雑化する侵入戦略に対する防御を強化する必要があることが示唆されます。
