イランのハッカーがフェニックス・バックドアで100以上の政府機関を標的に

国家支援を受けたイランのハッカーグループ「MuddyWater」は、フェニックス・バックドアのバージョン4を展開する攻撃で100以上の政府機関を標的にしました。

この脅威アクターは「Static Kitten」「Mercury」「Seedworm」とも呼ばれ、中東地域の政府および民間組織を主に標的としています。

8月19日から、ハッカーはNordVPNサービスを介してアクセスした侵害済みアカウントからフィッシングキャンペーンを開始しました。

サイバーセキュリティ企業Group-IBの本日のレポートによると、このメールは中東および北アフリカの多数の政府機関や国際組織に送信されました。

研究者によると、脅威アクターは8月24日にサーバーおよびサーバー側のコマンド＆コントロール（C2）コンポーネントを停止しており、これはおそらく他のツールやマルウェアを利用して侵害システムから情報を収集する新たな攻撃段階を示しています。

このMuddyWaterキャンペーンの標的の多くは、大使館、外交使節団、外務省、領事館です。

マクロ攻撃への回帰

Group-IBの調査によると、MuddyWaterはマクロコードが含まれた悪意のあるWord文書を使ったメールを利用し、FakeUpdateマルウェアローダーをデコードしてディスクに書き込んでいました。

メールには悪意のあるWord文書が添付されており、受信者にMicrosoft Officeで「コンテンツの有効化」を促します。この操作により、VBAマクロが実行され、‘FakeUpdate’マルウェアローダーがディスクに書き込まれます。

MuddyWaterがOffice文書内のマクロコードを使ってマルウェアを配布する理由は不明ですが、この手法は数年前に流行しており、当時は文書を開くだけでマクロが自動実行されていました。

Microsoftがデフォルトでマクロを無効化して以降、脅威アクターは他の手法に移行しており、最近ではClickFix（MuddyWaterも過去のキャンペーンで使用）などが使われています。

Group-IBの研究者によると、MuddyWaterの最近の攻撃で使われたローダーは、AESで暗号化された埋め込みペイロードであるフェニックス・バックドアを復号します。

マルウェアは‘C:\ProgramData\sysprocupdate.exe’に書き込まれ、Windowsレジストリエントリを変更して永続化を確立します。これには、システムログイン後にシェルとして実行すべきアプリの設定など、現在のユーザー向けの構成が含まれます。

フェニックス・バックドアは過去のMuddyWater攻撃でも確認されており、今回のキャンペーンで使用されたバージョン4には、追加のCOMベースの永続化メカニズムやいくつかの機能的な違いが含まれています。

このマルウェアは、コンピュータ名、ドメイン、Windowsバージョン、ユーザー名など、システムに関する情報を収集して被害者をプロファイリングします。WinHTTP経由でC2（コマンド＆コントロール）に接続し、ビーコン送信やコマンドのポーリングを開始します。

Group-IBは、フェニックスv4で以下のコマンドがサポートされていることを確認しています：

MuddyWaterがこれらの攻撃で使用したもう一つのツールは、Chrome、Opera、Brave、Edgeブラウザのデータベースを流出させ、認証情報を抽出し、それらを復号するためのマスターキーを奪取しようとするカスタム情報窃取ツールです。

MuddyWaterのC2インフラでは、研究者はソフトウェアの展開と管理用のPDQユーティリティや、Action1 RMM（リモート監視・管理）ツールも発見しました。PDQはイランのハッカーによる攻撃で使用されたことがあります。

Group-IBは、過去のキャンペーンで見られたマルウェアファミリーやマクロの使用、新しいマルウェアで以前のファミリーと類似した文字列デコード技術の利用、特有の標的パターンなどに基づき、高い確信をもってこれらの攻撃をMuddyWaterによるものとしています。