イランの脅威集団Seedwormは、著名な韓国系電子機器メーカーのインフラストラクチャ内にほぼ1週間、秘密裏の存在を維持していました。この間、攻撃者らは体系的にテレメトリーを収集し、認証情報を盗み取り、世界中の数百万人によって利用されている一般的なドキュメント共有プラットフォームを通じて機密ファイルを流出させました。
このキャンペーンは、9つの異なる国における少なくとも9つの組織に影響を与えました。産業コンツェルン、政府機関、金融機関、学術機関、さらには中東の国際空港を含んでいます。アナリストはSeedworm(別名MuddyWaterまたはTemp Zagros)をイラン情報保安省(MOIS)に起因すると考えています。
自分たちの存在を隠蔽するため、攻撃者はFortemediaとSentinelOneからのデジタル署名されたライブラリを利用した正当なソフトウェアコンポーネントを活用してペイロードを実行しました。この手法は防御措置の回避を促進し、悪意のあるアーティファクトが無害なシステムユーティリティに偽装するため、フォレンジック分析の再構築を複雑にします。
韓国系メーカーのネットワーク内で、攻撃者はNode.jsおよびPowerShellスクリプトを通じて活動しました。最初に、マルウェアはシステムの詳細、ユーザーアカウント、ドメイン構造、およびアクティブなセキュリティソリューションをカタログ化するための偵察を実施しました。その後、当該集団はスクリーンショットの取得を開始し、パスワードハッシュを含むWindowsシステムデータベースを流出させ、運用特権のエスカレーションを試みました。
認証情報を収集するため、Seedwormは多面的なツールキットを展開しました。1つのユーティリティは標準的なWindows認証プロンプトを呼び出し、ユーザーをだましてユーザー名とパスワードを開示させ、それらをローカルに記録しました。同時に、別のツールはKerberosチケットをリクエストし、攻撃者が管理パスワードを必要とせずに高特権アカウントをハイジャックすることを可能にしました。
ハッカーはまた、DLLサイドローディングを採用し、正当な実行可能ファイルfmapp.exeおよびsentinelmemoryscanner.exeを通じて悪意のあるライブラリを呼び出しました。これらのライブラリはChromeElevatorを含んでいました。Chromiumベースのブラウザからパスワード、セッションクッキー、および財務データを流出させるために設計されたツールです。
永続性のため、Seedwormはすべてのユーザーログイン時にマルウェアの自動実行を確保するためにWindowsレジストリを変更しました。攻撃者はルーチンとして感染したホストの外部IPアドレスを監視し、SOCKS5トンネルを通じてアクティブな接続を維持しました。流出したデータはsendit.shサービスを通じて流出させられました。独自のコマンド・アンド・コントロールインフラストラクチャではなく、パブリックなファイル共有プラットフォームを利用することにより、グループは効果的にそのトラフィックを日常的なユーザーアクティビティに偽装しました。
Symantecの専門家は観察しており、Seedwormが近年、その運用上の技能を大幅に洗練させていることを指摘しています。グループは目立つPowerShellスクリプトから静かなNode.jsベースのチェーンに移行し、防御的介入に対する回復力を確保するために、署名された第三者バイナリと冗長な認証情報収集ツールにますます依存しています。さらに、彼らの地理的範囲は中東と南アジアを超えて東アジアに拡大しました。専門家は、イランが核計画を取り巻く継続的な地政学的緊張の中で、技術的知的財産および産業インテリジェンスを取得するための努力を強化していると主張しています。
