イランの攻撃者が南朝鮮の大手電子機器メーカーを標的にした

イラン関連のハッキンググループMuddyWater（別名Seedworm、Static Kitten）は、複数の部門と国にわたる少なくとも9つの高名な組織を標的とした広範なサイバースパイ活動キャンペーンを開始しました。

被害者の中には、南朝鮮の大手電子機器メーカー、政府機関、中東の国際空港、アジアの産業用製造業者、および教育機関が含まれています。

Symantecの研究者らは、脅威行為者が「2026年2月に南朝鮮の大手電子機器メーカーのネットワーク内で1週間を過ごした」と述べています。

Symantecの脅威ハンターチームは、攻撃者は情報駆動型であり、産業および知的財産窃盗、政府スパイ行為、および下流の顧客またはコーポレートネットワークへのアクセスに焦点を当てていたと考えています。

FortemediaおよびSentinelOneの悪用

Seedwormのキャンペーンは、DLL側方ロードに大きく依存していました。これは、合法的で署名されたソフトウェアが悪意のあるDLLをロードする一般的な技術です。

攻撃で活用された2つのバイナリは、合法的なForemediaオーディオユーティリティ「fmapp.exe」と、合法的なSentinelOneコンポーネント「sentinelmemoryscanner.exe」です。

悪意のあるDLL（fmapp.dllおよびsentinelagentcore.dll）には、ChromElevatorが含まれていました。これは、Chromeベースのブラウザに保存されたデータを盗むコモディティ後悪用ツールです。

Symantecはまた、以前のSeedworm攻撃で使用されたPowerShellが、最近のインシデントでもまだ重く使用されていることを発見しました。ただし、ペイロードは直接ではなくNode.jsローダーを通じて制御されていました。

PowerShellは、スクリーンショットをキャプチャ、偵察の実施、追加のペイロード取得、永続性の確立、認証情報の窃盗、およびSOCKS5トンネルの作成に使用されました。

韓国企業への攻撃

Symantecの観察によると、南朝鮮の電子機器メーカーへの攻撃は2月20日から27日までの間続きました。研究者らは、標的となった組織の名前を開示していません。

最初の段階では、Seedwormがホストとドメイン偵察を実行し、その後WMIを通じたアンチウイルス列挙、スクリーンショットキャプチャ、および追加のマルウェアのダウンロードが続きました。

認証情報の窃盗は、偽のWindowsプロンプト、レジストリハイブ窃盗（SAM/SECURITY/SYSTEM）、およびKerberosチケット悪用ツール経由で発生しました。

永続性はレジストリ修正を通じて確立され、90秒間隔でビーコニングが発生し、側方ロードされたバイナリはアクセスを維持するために繰り返し再起動されました。

「ケイデンスは再び、継続的なオペレータの存在ではなく、インプラント駆動アクティビティと一致しています」と、研究者らが述べました。

攻撃者は、データ流出のためのパブリックファイル共有サービスであるsendit.shを活用しました。これは、悪意のあるアクティビティを隠蔽し、通常のトラフィックに見せかけるためと考えられます。

全体として、Symantecは最新のSeedwormキャンペーンが、脅威行為者の地理的拡大、運用成熟度、および合法的なツールとサービスの悪用により注目に値すると判断しており、これはより静かな攻撃への転換を示しています。