イランの国家に支持されるハッカーは、キャリア関連のフィッシングと初めてのサーチエンジンポイズニングの組み合わせを通じて新しいバックドアを展開し、最近のUS-イラン軍事紛争中にアメリカの航空業界への到達を広げています。
Check Point Researchの新しい分析によると、IRGC関連の行為者であるNimbus Manticoreは2026年2月から4月の間に3波の活動を再出現させ、2月28日に開始されたUS軍事キャンペーンOperation Epic Furyと一致しています。
UNC1549とも追跡されるこのグループは、歴史的に防衛、航空、および通信部門に対してキャリア関連のフィッシングを実行しています。
その最新の操作は、US、ヨーロッパ、および中東全体の航空企業とソフトウェアプロバイダーを装っています。
SEOポイズニングがプレイブックに参加
最も顕著な変化は4月に起こり、グループはその通常の偽の仕事ルアーをOracleのSQL Developerデータベースツールを装う偽のダウンロードページに置き換えました。
攻撃者は、偽のサイトにリンクされた数十のドメインを登録し、ランキングを上げるためにそのページを検索キーワードで満たしました。分析時点では、サイトは正当なソフトウェアに関連する検索に対してBingおよびDuckDuckGoで高く評価されていました。
これは、研究者がグループが直接的なフィッシングではなくサーチエンジンポイズニングを使用して被害者に到達するのを観察した初めての事例をマークしています。
以前の波は、偽の会議招待と、OnlyOfficeプラットフォーム上でホストされたZIPアーカイブを通じて配布されたトロイの木馬化されたZoomインストーラを含む、より馴染み深い方法に依存していました。
この脅威行為者について詳しく読む:イランのハッキンググループNimbus Manticsがヨーロッパの標的を拡大
キャンペーン全体を通じて、行為者はAppDomainハイジャッキングに依存していました。これは改ざんされた設定ファイルを脇に置くことで悪意のあるDLLを信頼されたネットアプリケーションにロードする技術です。
新しいツーリングのAI指紋
キャンペーンはまた、以前文書化されていなかったバックドアをCheck Pointが導入し、MiniFastと命名し、グループが2025年を通じて使用していたMiniJunkファミリーを廃止しました。
MiniFastは、フル機能のインプラントとして動作する64ビットWindows DLLであり、Chromeブラウザになりすましてトラフィックを偽装しながらJSON経由でコマンドアンドコントロール(C2)サーバと通信します。そのオペコード駆動コマンドセットは、シェル実行、ファイル転送、プロセス制御、およびスケジュールされたタスク永続性をカバーしています。
Check Pointは、ローダーとバックドア自体の両方がAI支援開発の特徴を持っていると評価し、些細な関数の周りの過度なエラー処理、冗長で反復的な命名パターン、およびコード全体に散在するデバッグスタイルのステータス文字列を指摘しています。
研究者は、これはおそらくグループが戦時中の圧力の下でも急速なツーリング開発と高い運用テンポを維持するのに役立ったと述べています。
翻訳元: https://www.infosecurity-magazine.com/news/iranian-hackers-us-aviation/
