特に影響を受けた産業の企業は、なりすまし詐欺に対する防御を強化すべきだとPalo Alto Networksは述べています。
イランの政府系ハッカーが、米国とイスラエルの戦争に対するテヘランの対抗手段の一環として、スピアフィッシング攻撃とリモートアクセストロイの木馬(RAT)を使用して、米国と中東の「高価値セクター」をスパイしていると、Palo Alto Networksは述べています。
同社のUnit 42の研究者らが最近、6つの新しいRATを発見しました。これらはScreening Serpensと呼ばれるイラン関連グループがスパイ目的に使用していたものです。研究者によると、このグループは「戦争が始まって以来、その活動を増やしている」とのこと。また、マルウェアのメタデータは、「米国、イスラエル、アラブ首長国連邦全体、および2つの追加の中東エンティティ全体の標的を攻撃した」ことを示唆しています。
Screening Serpens — 他の研究者からUNC1549、Smoke Sandstorm、およびNimbus Manticoreと呼ばれています — は「一貫して高価値セクターに照準を定めている」とPalo Alto Networksは述べており、特に航空宇宙、防衛、および通信産業を対象にしています。
「これらの最近のキャンペーンの定義上の特徴は、攻撃者のおとりの深い個人化である」と研究者は書いています。「カスタマイズされたソーシャルエンジニアリング戦術(偽の求人情報と詐称されたビデオ会議の招待状を含む)を利用することで、攻撃者は被害者をして感染チェーンを開始させるよう誘導し、その結果、彼らの組織をさらなる搾取にさらしています。」
この新しいレポートは、戦争が4ヶ月目に突入する中、イランがサイバースペースの利用を最大化して米国とその同盟国に対抗しようとしているという最新の証拠です。テヘランに関連するハッキンググループは以前、中東の市政府および米国のインフラ事業者を攻撃しているところが目撃されています。
綿密な計画と組み合わされたマルウェア
6つの新しいRATは2つのマルウェアファミリーの一部でした。最初のMiniUpdateは、米国とイスラエルの組織を対象にした3月下旬の2つのキャンペーンで浮上し、その後4月中旬のキャンペーンではアラブ首長国連邦およびおそらく別の中東国の組織を対象にしたと思われます。Palo Alto Networksのレポートによると、米国のキャンペーンではハッカーが大手航空会社になりすました カスタマイズされたスピアフィッシングおとりが関与していましたが、中東の攻撃ではハッカーは最初にヘルスケア組織になりすまし、その後金融サービス会社になりすましました。
2月と3月に、研究者は第2のマルウェアファミリーMiniJunk V2に属するRATを含む攻撃を検出しました。2月の攻撃は中東で働くITプロフェッショナルを対象にし、数ヶ月間の計画と研究が含まれており、ハッカーが標的の新しい仕事を見つけようとする試みを研究した際に2025年後半にマルウェア開発が開始されました。
「脅威アクターは慎重な偵察を実施し、標的のアクティブな求職活動のフットプリントを利用してカスタマイズされたおとりを作成した」とPalo Alto Networksは述べています。「正当性を確立し、標的にペイロードを実行するよう強制するために、攻撃者は正当で有名な雇用サイトから詐称された採用URLを共有しました。」
Screening Serpensは4月時点で「持続的で適応的なグローバルサイバーキャンペーンを引き続き組織化している」とレポートは述べています。「組織は近い将来のさらなる試みに備え、潜在的な侵害の試みに備えるため防御態勢を強化すべきである。」
翻訳元: https://www.cybersecuritydive.com/news/iran-cyberattacks-espionage-us-israel-uae/820990/
