イランのIRGC系列の脅威グループNimbus Manticore(UNC1549としても追跡)に関連する新たに観測されたサイバーキャンペーンは、配信戦術とマルウェアの高度化の両方における進化を浮き彫りにしています。
2026年2月28日に開始されたOperation Epic Furyに関連する進行中の地政学的紛争中に明らかにされた活動により、このグループが初めてSEOポイズニングマルウェアを正規ソフトウェアとして配布するために採用していることが示されています。
Nimbus Manticoreは歴史的に、キャリア関連のフィッシング作為を使用して、航空、防衛、通信セクターをターゲットにしてきました。最新の作戦では、グループは米国、ヨーロッパ、中東全域でのターゲティングを拡大し、航空会社およびソフトウェアプロバイダーになりすまして被害者を誘い込みました。
2026年初期のキャンペーンは、OnlyOfficeなどの正規プラットフォームでホストされているZIPアーカイブを配信するフィッシングメールに依存していました。これらのアーカイブはAppDomainハイジャッキングを悪用し、信頼された.NETアプリケーションに工作された.configファイルを介して悪意のあるDLLをロードするよう強制し、ステルス実行を可能にしました。
これらのファイルを実行した被害者は、知らず知らずのうちに、グループのMiniJunkマルウェアの更新版を展開した多段階感染チェーンをトリガーしました。
Operation Epic Furyの間、脅威行為者は、トロイの木馬化されたZoomインストーラーを使用した、より高度な感染チェーンを導入しました。マルウェアは正規のインストールプロセスを模倣しながら、悪意のあるコンポーネントを静かに展開しました。
観測された主要な技術は以下を含みます:
- 検出を回避するための正規署名バイナリの悪用。
- 永続化のためのZoom更新メカニズム経由のスケジュールタスクハイジャッキング。
- 難読化(ROT13および反転文字列)を使用した多段階ローダー。
- サンドボックス環境を回避するための厳密な実行チェック。
このキャンペーンはMiniFastという新しいバックドアのデビューをマークし、MiniJunkを置き換えました。マルウェアはファイル流出、コマンド実行、プロセス操作を含む、感染システムへの完全なリモートコントロールを可能にする64ビットDLLです。
MiniFastは構造化されたHTTPリクエストとJSON ベースの交換を使用してコマンド・アンド・コントロール(C2)サーバーと通信し、正規ネットワークアクティビティに溶け込むようにChromeブラウザトラフィックを偽装します。
イランのAPTがSEOポイズニングを使用
Checkpointは、GBhackersと共有したレポートで、SEOポイズニングを利用した第3段階のキャンペーンを特定しました。攻撃者はOracle SQL Developerのダウンロードポータルになりすましている偽のウェブサイト、getsqldeveloper[.]comを作成しました。
可視性を高めるために、グループは多くのサポートドメインを登録しました。「Download SQL Developer」および「SQL Developer Free」などのキーワード詰め込み技術を使用しました。この操作は、BingとDuckDuckGoのような検索エンジンで悪意のあるサイトを高いランキングに押し上げました。
SQLツールを検索したユーザーは偽のサイトにリダイレクトされ、MiniFastバックドアを配信した悪意のあるインストーラーが提供され、従来のフィッシングから検索駆動型感染ベクトルへのシフトをマークしました。
- 詳細で反復的な関数命名パターン。
- 簡単なAPI呼び出しの周囲の広範なエラー処理。
- 比較的シンプルな機能にもかかわらず、モジュール構造。
- 組み込まれたデバッグスタイルのメッセージと詳細なログ。
これらの特性は、大規模言語モデルまたは自動コーディングツールの使用を示唆しており、高速開発サイクルと進行中の作戦中の迅速な適応を可能にしています。
MiniFastは、以下の機能を含む完全に機能したバックドアとして機能します:
- CMDを介したリモートコマンド実行。
- ファイルのアップロードとダウンロード。
- ディレクトリとプロセスの列挙。
- スケジュールタスク経由の永続化。
- 通信間隔の動的構成。
マルウェアはBase64エンコードされたタスキングを使用し、オペレーターに侵害されたシステムに対する細粒度制御を与える、広いオペコードベースのコマンド構造をサポートしています。
Nimbus Manticoreの最新キャンペーンは、運用成熟度における重大なシフトを実証しています。SEOポイズニング、AI支援マルウェア開発、およびステルス重視型実行技術の採用は、戦時状況によって駆動される急速な進化を示しています。
米国の航空ターゲットへの拡大と高価値セクターへの継続的な焦点は、イランのより広い情報収集目標と一致しています。これらの開発は、サイバー作戦と地政学的紛争の増加する収束を強調し、脅威行為者が運用効果を維持するための革新を加速させています。
IOCs
| SHA256 |
|---|
| 10fd541674adadfbba99b54280f7e59732746faf2b10ce68521866f737f1e46d |
| eee657ffdb2af8ed6412221e7d5fbf4f5742f2ac2c88f43f12db46af0697de71 |
| 781605ce9d4a9869e846f6c9657d71437cb6240ab27ffbc4cd550c0e06996690 |
| 2c214494fd0bad31473ca8adce78a4f50847876584571e66aadeae70827ec2dc |
| f08b17856616d66492a24dced27f788e235f35f42fa7cd10f315000d3a2f4c03 |
| a57ffb819fe8d98ff925c5d7b239598fe302acf5a13193d7a535040a71298fdf |
| 63d0d3c4a7f71bdbca720903d6a99b832089cc093c64d2938e7e001e56c17ab4 |
| 74882085db2088356ed7f72f01e0404a0a98cda88ef56fb15ce74c1f36b26d27 |
| bc3b44154518c5794ce639108e7b9c5fecb0c189607a26de1aaed518d890c7ad |
| ecaf493c320d201d285ef5f61d75744216e47cf1115b4af528f9a78883cc446e |
| 44f4f7aca7f1d9bfdaf7b3736934cbe19f851a707662f8f0b0c49b383e054250 |
| 0db36a04d304ad96f9e6f97b531934594cd95a5cea9ff2c9af249201089dc864 |
| 485f182f7b74ea4013b2539275a95d21e3a9bf0082c331937af9353a324b36f3 |
| 64530d7e6ee30e4a66d9eeed6b8595c33fd72f5f73409133ca40539e5695df4c |
| 332ba2f0297dfb1599adecc3e9067893e7cf243aa23aedce4906a4c480574c17 |
| 9e4a658e6d831c9e9bdfe11884a75b7c64812ed0a80e8495ddf6b316505acac1 |
| 43dc62cef52ebdd69e79f10015b3e13890f26c058325c0ff139c70f8d8eadcfa |
| 8808c794c24367438f183e4be941876f1d3ecd0c8d2eb43b10d2380841d2283b |
| 5c3362d20229597d11380f56d1f2eb39647fb6afad7be8392a7abcd18dff12f8 |
| 0291ef318576953f7f3fe287e7775ed1d7c3206119dc7b9cd6d85c02779e6e40 |
| d4a7e9f107fe40c1a5d0139c6c6e25bf6bf57f61feff090bee28f476bb3cc3c2 |
| 38bd137c672bd58d08c4f0502f993a6561e2c3411773d1ae57ee0151a0a9d11d |
| f54cd38632ac9da3af3533ae93e92625cbcb04df521dbf1b6acfaa81218f9e8c |
| b19e06da580cf91691eda066ac9ee4b09c6e5dc26c367af12660fe1f9306eec4 |
| 9cf029daca89523d917dafed0568d11d00e45ec96b5b90b4a1f7fd4018c7da84 |
| a13ba3c5aff46e9daf2d23df4b3e3d49dc7236c207c56f0a1433051f3450d441 |
| dfa1e3137a032ee8561a1cd5e1a0f71a10bebb36aef7c336c878638a9c1239ee |
| ドメイン |
|---|
| business-startup[.]org |
| business-startup.azurewebsites[.]net |
| businessstartup.azurewebsites[.]net |
| buisness-centeral.azurewebsites[.]net |
| buisness-centeral-transportation.azurewebsites[.]net |
| buisness-centeral-transportation[.]com |
| licencemanagers.azurewebsites[.]net |
| licencesupporting.azurewebsites[.]net |
| peerdistsvcmanagers.azurewebsites[.]net |
| nanomatrix.azurewebsites[.]net |
| PremierHealthAdvisory[.]com |
| PremierHealthAdvisory[.]azurewebsites.net |
| Premier-HealthAdvisory[.]azurewebsites.net |
| ramiltonsfinance[.]com |
| ramiltonsfinance.azurewebsites[.]net |
| ramiltons-finance.azurewebsites[.]net |
| globalitconsultants.azurewebsites[.]net |
| globalit-consultants.azurewebsites[.]net |
| global-it-consultants.azurewebsites[.]net |
| global-it-checkers.azurewebsites[.]net |
| global-it-checkbusiness.azurewebsites[.]net |
| global-check-itbusiness.azurewebsites[.]net |
| global-check-business-it.azurewebsites[.]net |
| globalbusiness-checkers-it.azurewebsites[.]net |
| getsqldeveloper[.]com |
注記: IPアドレスとドメインは意図的にdefanged(例: [.])です。偶発的な解決またはハイパーリンクを防ぐためです。MISP、VirusTotal、またはSIEMなどの制御された脅威インテリジェンスプラットフォーム内でのみrefangします。
翻訳元: https://gbhackers.com/iranian-apt-uses-seo-poisoning/
