2026年初頭に展開された大規模なサイバースパイキャンペーンにおいて、イランと関連する脅威アクターが韓国の大手電子機器メーカーに侵入した。
攻撃者たちは丸一週間、企業ネットワーク内を気づかれることなく移動し続けた。この侵入は、4つの異なる大陸にまたがる政府機関、空港、金融サービス、産業メーカーを標的とした大規模なグローバル作戦の一部に過ぎない。
この作戦を担うスパイグループは、Seedworm(MuddyWater、Temp Zagros、Static Kittenとも追跡される)として知られており、イランの情報安全省(MOIS)の傘下で活動している。
直近の標的は、テヘランによる情報収集活動の範囲が拡大していることを示している。
Seedwormは従来の中東地域における活動範囲を大きく超え、ハイテク製造業の知的財産、研究データ、および敵対政府に関する情報の収集へと積極的に拡大している。
Seedwormは現代の境界防御を回避するため、作戦上の手口を大幅に成熟させてきた。2026年2月の侵入活動において、脅威アクターたちは自動化された静粛な作戦へと規律ある転換を示した。
攻撃チェーンは自動化された偵察から始まり、単純なPowerShellコマンドとWindows Management Instrumentation(WMI)クエリを使用してドメインユーザーの権限をマッピングし、インストールされているウイルス対策製品を特定した。
シグネチャベースの検出を回避し、セキュリティトリアージを混乱させるため、攻撃者たちは有効な署名を持つサードパーティ製実行ファイルを使用した特定のDLLサイドローディング技術を展開した。
従来は生のPowerShellを多用していたSeedwormのオペレーターたちは、最近これらの攻撃をNode.jsスクリプトを介して orchestrateする手法に移行した。
インシデント対応者は、ハイジャックされたバイナリの親プロセスとしてnode.exeが動作していることを観察した。これは、人間のオペレーターによる能動的な直接操作ではなく、自動化されたローダーインフラストラクチャが使用されていることを示している。
攻撃者たちは、感染マシンに被害者がログインするたびにこのNode.jsローダーチェーンが再実行されるようレジストリキーを追加することで、持続的なアクセスを維持した。
権限を昇格させ、深いネットワークアクセスを確保するため、オペレーターたちは冗長な認証情報窃取ツールを展開した。彼らはWindows SAM、SECURITY、およびSYSTEMレジストリハイブを標的にして、ローカルマシンのNTLMパスワードハッシュを抽出した。
さらに、Kerberosチケット保証チケット(TGT)の抽出を自動化する専用ツールを使用し、平文パスワードを必要とすることなく高権限のドメイン管理者になりすますことを可能にした。
貴重な知的財産とネットワークデータを確保した後、Seedwormのオペレーターたちは独自のコマンド&コントロール経由のデータ窃取チャネルを完全に回避した(Securityの報告による)。
その代わりに、彼らは盗んだ情報をsendit[.]shという公開ファイル転送サービスを使用してネットワーク外に持ち出した。
データ窃取を通常のコンシューマー向けクラウドトラフィックに紛れ込ませることで、脅威アクターたちは従来のネットワークベースの監視から活動の痕跡をうまく隠蔽することに成功した。
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化されています(例:[.])。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ元の形式に戻してください。
翻訳元: https://cyberpress.org/seedworm-weaponizes-signed-binaries/
