理論的背景とキャンペーン概要
「ミナブのアバビル」として知られるイランのサイバー集団が、一連の壊滅的なサイバー攻撃への関与を最近主張した。具体的には、これらの標的型攻撃は米国および中東全域の輸送企業と商業事業者に深刻な打撃を与えた。さらに、攻撃者たちは機密性の高い企業データを窃取するにとどまらなかった。その代わりに、仮想マシン、リレーショナルデータベース、および主要バックアップリポジトリを意図的に壊滅させた。その結果、この焦土戦術により被害組織は運用インフラを迅速に再構築することが完全に不可能な状態に陥った。
その後、Gambit Securityのサイバーセキュリティ専門家たちが、この敵対的キャンペーンを悪名高い「ブラック・シャドウ」脅威グループへと遡って特定した。重要なことに、イスラエル当局はかねてよりブラック・シャドウをイラン情報省の実働部門として認定している。そのため、調査報告書の著者らは、ミナブのアバビルが自律的な新興グループではないと結論付けている。むしろ、同グループは独立宣言を公表しているにもかかわらず、リブランドされた組織として機能しているとされる。
輸送セクターへの侵害の解析
LAメトロへの侵入
この攻撃作戦の初期の被害者の一つが、ロサンゼルスの都市交通サービスであるLAメトロである。当初、攻撃者たちはVMware vCenterの仮想インフラ管理コンソールへの管理者権限によるアクセスを確保した。続いて、脅威アクターは多数の仮想マシンをその基盤となる物理ディスクファイルごと削除した。その結果、最初の侵害からわずか数時間のうちに、LAメトロはモバイル運賃システム全体に広範な障害が発生したことを公表した。その後まもなく、攻撃者はゲストWindowsターミナルに移動し、ネイティブのディスクユーティリティを使用してストレージボリュームを削除した。
南フロリダ地域交通局への侵害
同様に、南フロリダ地域交通局も破壊的なキャンペーンの被害を受けた。攻撃者が公開した流出映像によると、攻撃者たちはリモートデスクトッププロトコル(RDP)を活用した。続いて、中核となるIISウェブサーバーでローカル管理者権限を取得することに成功した。その後、オペレーターはMicrosoft SQL Server Management Studioを使用して重要なデータベース資産を組織的にデタッチ・削除した。最終的に、WipeFileユーティリティを実行してウェブサーバーのディレクトリとバックアップリポジトリを完全に消去した。
自動破壊フレームワークとOpenAIの悪用
UNIMACおよびVyncsへの作戦
一方、インフラ企業UNIMACの企業ネットワーク内では、攻撃者が積極的なディスクフォーマットルーチンを実行した。具体的には、ストレージパーティションを消去し、アクティブなボリュームを削除した後、「Minab」という嘲弄的なラベルを付けた空の代替ボリュームを作成した。その後、脅威アクターはVeeamバックアップソフトウェア内のデータを消去することで、組織のリカバリパイプラインを完全に破壊した。
同時期に、VyncsのGPSトラッキングエコシステムへの攻撃においては、攻撃者がカスタムPythonスクリプトを展開した。注目すべきことに、このマルウェアは58台の独立したMicrosoft SQL Serverに対して自動認証を行い、ユーザーデータベースを削除した。同時に、オペレーターは補助バックアップと基盤となるWindowsシステムディレクトリを手動で消去した。その結果、ホストサーバーへのネットワーク接続が突然切断され、システムが完全に破壊されたことが確認された。
ChatGPTを活用したアルゴリズム的精度の確保
さらに、調査チームはフォレンジック分析の過程で、非常に興味深く高度な戦術的詳細を発見した。録画されたビデオログによると、脅威アクターはデータベーススクリプトを改良するためにChatGPTを積極的に活用していた。明らかに、この生成AIモデルは削除対象の配列から重要なシステムデータベースを除外するよう支援した。こうして、この精密な設計によりスクリプトはユーザー生成データテーブルのみを標的とし、エンジンの早期クラッシュを防ぐことができた。
情報収集と旧来インフラとの関連
スパイ活動とカスタム窃取ツール
これらの破壊的キャンペーンに加えて、研究者たちは攻撃者が組織的にスパイ活動を目的とした標的攻撃を行っていたことを発見した。具体的には、学術機関、メディア、保険会社、および宿泊業者から機密データを窃取した。これを実現するために、ハッカーたちは侵害されたウェブインフラと独自のペイロードを介して窃取ファイルを転送した。特筆すべきは、このツールキットに「FileFiend」が含まれていたことであり、これはローカルおよびネットワーク接続されたストレージディスクからファイルを収集するために設計された特殊なC++ユーティリティである。
ネフェシュホープの歴史的な繋がり
最終的に、キャンペーンのコマンドインフラをフォレンジック追跡した結果、専門家たちは既知のドメインであるnefeshhope[.]comに行き着いた。歴史的に、脅威アクターはこのドメインを2025年に偽の心理カウンセリングプラットフォームのホスティングに悪用した。その展開期間中、インターフェースは機密性の高い個人識別情報を収集し、補助的なマルウェアを配布した。当時、イスラエル国家サイバー総局はこの作戦をイランの国家支援スパイ組織によるものと確定的に帰属させていた。
翻訳元: https://meterpreter.org/ababil-of-minab-iranian-destructive-cyberattacks/
