出典: Xcages / Shutterstock
イラン支援の脅威グループ「MuddyWater」は、フィッシングメールを通じてカスタムバックドアを配布するサイバースパイ活動により、中東および北アフリカの100以上の政府関連組織やその他の団体を標的にしています。
サイバーセキュリティベンダーのGroup-IBは、このキャンペーンを発見しました。これは8月19日に始まり、攻撃者が正規のVPNサービスであるNordVPNを通じてアクセスした侵害済みメールボックスを利用しており、悪意のあるメールに信憑性を持たせていると、研究者らは本日公開されたブログ記事で明らかにしました。
「このような通信に関連する信頼と権威を悪用することで、このキャンペーンは受信者をだまして悪意のある添付ファイルを開かせる可能性を大幅に高めました」とGroup-IBのマルウェアアナリストMahmoud Zohdy氏とサイバーインテリジェンスアナリストMansour Alhmoud氏は投稿で述べています。
このキャンペーンの最終的なペイロードは、MuddyWater専用のPhoenixバックドアのバージョン4であり、別のカスタムマルウェアであるFakeUpdateインジェクターを介して配布されたとアナリストは述べています。Group-IBによると、このキャンペーンの目的は持続性を確立し、情報収集やリモート監視のためにMuddyWaterのコマンド&コントロール(C2)インフラに接続することです。
実行にはマクロが必要
MuddyWater(APT34、Helix Kitten、Seedworm、TA450、OilRigなどとも呼ばれる)は、少なくとも2017年から活動しているイランの脅威グループで、イラン情報保安省(MOIS)と関係があるとされています。このグループはサイバースパイ活動や地政学的な混乱を目的としており、過去数年でカスタムマルウェアやステルス戦術を武器に大きく復活し、2023年には中東のある政府機関のシステムに8か月間発覚せず潜伏していました。
Group-IBが追跡した最新のキャンペーンでは、MuddyWaterは主に政府機関、例えば大使館、外交使節団、外務省、領事館などを中東およびアフリカで標的にしています。「標的となった受信者の中には、国際協力や人道活動に注力する著名な国際機関の一員も含まれています」と研究者らは記しています。「これはグループのより大きな地政学的目標と、標的選定の意図的な性質を裏付けています。」
被害者は、意図的にぼかされたMicrosoft Word文書が添付されたフィッシングメールを受け取り、内容を表示するためにマクロの有効化を促されます。マクロが有効化されるとすぐに、文書は悪意のあるVisual Basic for Application(VBA)コードを実行し、ドロッパーとして機能してローダーをディスクにデコード・書き込み、その後実行します。
この過程で使用されるローダーはFakeUpdateで、インジェクター型ツールとして組み込まれた第2段階のペイロードをAdvanced Encryption Standard(AES)で復号し、自身のプロセスにインジェクトします。この活動の最終的な結果として、被害者のマシンにPhoenixバックドアが展開されます。
カスタムマルウェアが犯人を特定
Group-IBは、このキャンペーンの犯人をMuddyWaterと特定しました。なぜなら、FakeUpdateローダーとPhoenixバックドアの両方がこの脅威グループ専用で使用されているためだと、アナリストは投稿で指摘しています。
実行されると、Phoenixバックドアのバージョン4はミューテックス(sysprocupdate.exe)を作成して一意のプロセスを設定し、ホストやシステム情報を収集します。その後、自身をC:\ProgramData\sysprocupdate.exeにコピーし、Windowsレジストリを変更して持続性を確立します。最終的にバックドアはWinHTTP経由でC2と通信し、MuddyWaterからのコマンドを受信・実行します。
このキャンペーンで使用された他のマルウェアには、電卓アプリに偽装したカスタム認証情報窃取ツールChromium_Stealerや、MuddyWaterがリモート制御と持続性のために使用しているリモート監視・管理ツールPDQ RMMおよびAction1などがあります。
国家支援型攻撃者への防御強化を
MuddyWaterや同様の国家支援型攻撃者は、一貫して政府機関や重要インフラ事業者を標的に、情報収集や混乱を引き起こそうとしています。このため、Group-IBは組織に対し、これらの攻撃者への防御を強化するよう呼びかけています。
これらの対策には、MuddyWaterに関連する最新の侵害指標(IoC)や戦術・技術・手順(TTP)を受け取るため、信頼できる脅威インテリジェンスフィードを購読することが含まれます。グループは戦術やマルウェアを頻繁に変更するため、防御側はPhoenixやFakeUpdate、その他グループ関連の悪意あるインフラやツールに関する指標を継続的に脅威ハンティングする必要があります。
また、組織はOffice文書のサンドボックス化や添付ファイルのスキャンを導入し、マクロが埋め込まれているものや疑わしいVBAコードを持つものをフラグ付けすることで、メールやフィッシング対策を強化できます。アナリストによれば、一般的なルールとして、従業員に対して定期的なフィッシング訓練や啓発を実施し、このキャンペーンで使われた「コンテンツの有効化」マクロ誘導の手口を強調すべきです。
さらに組織が防御態勢を強化する方法としては、グループポリシーでOfficeマクロをデフォルトで無効化し、署名済みまたは信頼できるソースからのみ実行を許可するなど、エンドポイントやアクセス制御を実装することが挙げられます。また、EDR/XDRソリューションを導入・チューニングしてPowerShellの悪用やプロセスインジェクション、異常な自動レジストリ変更を検出し、すべてのアカウントで多要素認証(MFA)を強制して不正なメールボックスアクセスを防ぐべきだとGroup-IBは述べています。
