イランと関連するハッカーが、中東および周辺地域の複数組織のIT・バックアップ・リカバリシステムを壊滅させる破壊的なサイバーキャンペーンを展開しています。この攻撃により、被害組織は攻撃後の業務復旧手段を大きく失う事態に陥っています。
今回の作戦は、イラン情報安全省の意を受けて活動していると見られる長年活動のイランの脅威グループ「Black Shadow」との関連を示す証拠が明らかになっています。
脅威インテリジェンス分析によると、「Ababil of Minab」と名付けられたこのキャンペーンは、米国、イスラエル、サウジアラビア、トルコ、その他の中東諸国の組織を標的にしています。
攻撃者は、大規模なデータ窃取と、仮想インフラ・データベース・オペレーティングシステム・バックアップリポジトリの組織的な破壊を組み合わせています。
この活動が公に表面化したのは、「Ababil of Minab」と名乗る親イラン系アカウントがロサンゼルスメトロをはじめとする複数組織への攻撃について犯行声明を出し、破壊工作の様子をリアルタイムで撮影した動画を証拠として公開したことがきっかけです。
フォレンジック調査によると、このアカウントのインフラとツールが過去のBlack Shadow作戦と結びついており、新たな独立グループではなくリブランディングである可能性が高いとされています。
攻撃者は、仮想化・ストレージ・データベース・アプリケーションサーバ・バックアッププラットフォームなど、復旧に必要なあらゆる層を意図的に標的にしました。
中東での事例の一つとして、サウジアラビアのメンテナンス・建設会社UNIMACでは、攻撃者がディスク管理ツールを通じてWindowsボリュームを消去し、パーティションをフォーマット・削除した後、「Minab」という新しいボリュームを再作成して以前のデータを上書きしました。
続いてVeeam Backup & Replicationコンソールに移行し、「ディスクから削除」アクションを使用してリポジトリストレージからバックアップチェーン全体を消去しました。これにより、環境を救える可能性があったリカバリポイントもすべて失われました。
GBhackersと共有したレポートでGambitチームが発表した調査によると、米国、イスラエル、サウジアラビア、トルコの組織を標的とした、窃取と破壊を組み合わせた侵害キャンペーンの詳細が明らかになっています。
別の被害者環境では、カスタムPythonスクリプト「main.py」を実行し、58のSQL Serverインスタンスを反復処理して全ユーザーデータベースを強制削除するコマンドを実行しました。58インスタンス全てで破壊操作に成功しており、同時にバックアップの.bakファイルも手動で削除しています。
イラン関連ハッカーによるIT破壊
この脅威アクターはマルウェアだけに頼ることなく、VMware vCenter、Windowsディスク管理、SQL Server Management Studio、Windowsエクスプローラーなど、防御側が日常的に使用する管理ツールを悪用し、正規の管理者操作に紛れ込む手口を採っています。
動画には、攻撃者がvCenterから仮想マシンを直接削除し、データベースをオフラインにして削除し、さらに重要サーバからWindows・Program Files・UsersフォルダおよびIIS Webルートなどのコアフォルダを完全消去する様子が収められており、これにより即座に接続が失われています。
注目すべき点として、攻撃者が一時的にChatGPTを使用して破壊スクリプトを改良していたことが明らかになっています。特に、システムデータベースを回避してアプリケーションデータのみを標的とするようロジックを調整しており、攻撃完了に必要な最低限の機能をWindowsとSQLインフラに残しながら被害を最大化する工夫が施されていました。
システムを破壊する前に、Ababil of Minaはメディア・高等教育・保険・オンラインサービスなど、イスラエル・トルコ・その他の中東地域の被害者から大量のデータを窃取しました。
場合によっては、盗んだファイルをマルチパートRARアーカイブに圧縮して被害者自身の公開Webルートにアップロードし、その後proxychains経由でトンネリングしたaxelダウンロードアクセラレータを使って引き出していました。
このグループはまた、カスタムFlaskベースの流出データ受信ツールも運用しており、複数のエンドポイント経由で暗号化されたファイルチャンクを受け取り、サーバ側で再組み立てしていました。
クライアントはAES-CBCでファイル名とデータを暗号化していましたが、鍵とIVが同じリクエストで送信されていたため、通信経路を監視している者に対しては実質的な保護にはなっていませんでした。
今回のキャンペーンで使用されたインフラは、イスラエルの兵士と予備役兵を標的にした偽のメンタルヘルスサポートサイト「nefeshhope.com」を展開した2025年のイランの作戦と重複しています。
このインフルエンス・スパイキャンペーンは以前、カスタムGoトンネラーのサンプルとコマンド&コントロールのホスティングに基づいてBlack Shadowとの関連が指摘されていました。
偽サポートサイトと新たな破壊・窃取活動との間でステージングサーバ・TLS証明書・トンネリングツールが再利用されており、これら作戦の強い継続性が確認されています。
中東の防御担当者にとって、これは同一のイラン関連グループが現在、重要なITおよびリカバリインフラに対して心理作戦・スパイ活動・純粋な破壊攻撃を組み合わせて展開していることを改めて示すものです。
侵害の痕跡(IoC)
| インジケーター | タイプ | 備考 |
|---|---|---|
| 31.172.87.20 | IPv4 | 攻撃者のステージングサーバ;nefeshhope[.]comのTLSを提供 |
| 212.83.61.213 | IPv4 | FileFiend C2、81a2535にハードコード |
| 66.85.26.183 | IPv4 | FileFiend C2、c8cc422およびa6b49にハードコード |
| 195.20.17.129 | IPv4 | FileFiend C2、d76a943にハードコード |
| 46.246.125.131 | IPv4 | プロパガンダサイトのソースIP |
| 146.70.233.83 | IPv4 | nefeshhope[.]comのTLSを提供 |
| 91.193.19.198 | IPv4 | 攻撃者が制御する出口ノード |
| 89.36.231.56 | IPv4 | feedback.nefeshhope[.]comのTLSを提供 |
| 84.200.89.52 | IPv4 | nefeshhope[.]comのTLSを提供 |
| 46.30.190.173 | IPv4 | members.nefeshhope[.]comのTLSを提供 |
| nefeshhope[.]com | ドメイン | 攻撃者が制御するサイト |
| members.nefeshhope[.]com | ドメイン | A.ExE GoトンネラーとC2通信 |
| 81a25357d027d0f04a43139377d5d58384b8e9b0770e699cdcc37e600641cf90 | SHA-256 | FileFiend / Exchangedb.exe |
| c8cc4225d1e21324ef419adbb1c10dd0578fb034b5f5d7b8000f0aae1871c061 | SHA-256 | FileFiend / Exchangedb.exe |
| 33a6b4900c2fbfb3c2d816947871eade800d0c0e2a2680871700fd6e640e5f20 | SHA-256 | FileFiend / Exchangedb.exe |
| d76a94309240a7e2f11a89fab54a6853628e976a5ff19084b1b0894c89e6a742 | SHA-256 | FileFiend |
| f6db77be038980e9dbbf9f11e0f7ae7d2d4d3f1a53199958f1f55137dde5efd3 | SHA-256 | members.nefeshhope[.]comと通信するA.ExE Goトンネラー |
| C:\Users\casio\Desktop\uploader v3\temp uploader v3\temp uploader v3.cpp | ファイルパス | FileFiend内の開発者ソースパス |
| F:\OH~FileFiend(Uploader)\uploader v3\x64\Release\temp uploader v3.pdb | ファイルパス | FileFiend v4のPDBパス |
| O=Acme Cloud Solutions Inc, CN=localhost | TLSサブジェクト | Flask受信ツール上の自己署名証明書 |
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的に無害化(defang)されています(例:[.])。MISP・VirusTotal・SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ元の形式に戻してください。
翻訳元: https://gbhackers.com/iran-linked-hackers-wipe-it/
