MURKYTOUR バックドア
2024年10月、イランと連携する脅威アクター「UNC2428」が、イスラエル人を標的としたサイバースパイ活動を開始しました。イスラエルの防衛関連企業Rafaelの採用担当者を装ったこのグループは、求人広告を装ったソーシャルエンジニアリング手法を用いて被害者を誘い込みました。被害者が興味を示すと、Rafaelを装った偽のウェブサイトにリダイレクトされ、「RafaelConnect.exe」というアプリケーションツールのダウンロードを促されました。
目次
関心から侵入へ:マルウェアの配信チェーン
ダウンロードされたツールは、実際にはLONEFLEETと呼ばれるインストーラーでした。正規の求人応募ポータルを装ったグラフィカルユーザーインターフェース(GUI)を備え、個人情報の入力と履歴書のアップロードを求めます。一見無害に見えるこのインターフェースには、悪意ある意図が隠されていました。データが送信されると、LEAFPILEというランチャーを介して、MURKYTOURと呼ばれるバックドアがバックグラウンドで静かに展開され、攻撃者は感染したシステムへの継続的なアクセスが可能になります。この手法は、脅威アクターがマルウェアの実行を無害なアクティビティに偽装するためにGUIを戦略的に利用していることを浮き彫りにしています。
複数のプレイヤー:拡大するイランのサイバー脅威情勢
UNC2428は、イランによる広範なサイバー作戦のパズルのピースの一つに過ぎません。この作戦は、イスラエル国家サイバー局が非難するブラックシャドウに関連する活動と共通点があります。ブラックシャドウは、イランの情報安全保障省(MOIS)の管轄下にあると考えられています。彼らの標的は、イスラエルの様々なセクターに及び、その中には以下が含まれます。
- 政府と防衛
- ヘルスケアと金融
- テクノロジーとコミュニケーション
MuddyWaterグループと関連のある別のアクター、UNC3313は、2022年からスピアフィッシングキャンペーンを展開しており、正規のリモート監視ツールを利用してステルス性と持続的なアクセスを維持していることで知られています。一方、UNC1549は、企業環境に溶け込み、検出を回避するためにクラウドベースのインフラストラクチャに移行しています。
操作の首謀者:APT42とその先
APT42 (別名Charming Kitten)は、洗練されたソーシャルエンジニアリング手法で知られています。このグループは、Google、Microsoft、Yahoo!などの主要プラットフォームを装った偽のログインページを展開し、認証情報を収集しています。また、Google SitesやDropboxなどのプラットフォームを利用して、被害者をこれらの悪意のあるページへ誘導することで、巧妙な欺瞞行為を巧みに行っています。
さらに、 APT34 (OilRig)は、イラク政府システムへの攻撃において、DODGYLAFFAやSPAREPRIZEといったカスタムバックドアを利用しています。サイバーセキュリティ専門家は、2024年に中東の様々なサイバー作戦において、イランの攻撃者によって開発または使用された20以上のマルウェアファミリーを特定しています。
結論:持続的かつ進化する脅威
イランのサイバー攻撃者は、心理的操作と高度な技術を融合させた戦術において顕著な進化を見せています。GUI、正規ツール、クラウドサービスなどを通じて、アクセスを維持し、検知を回避するためのアプローチを洗練させており、地域および世界規模のサイバーセキュリティ対策にとって継続的な課題となっています。
