イランのお気に入りの泥足サイバースパイ集団が再び動き出し、今回は中東および北アフリカ全域で100以上の政府機関を侵害したと、Group-IBの研究者が報告しています。
8月に始まったこのキャンペーンでは、侵害された企業のメールボックスを利用して、大使館、省庁、通信事業者に巧妙なフィッシングメールを送りつけました。攻撃者はMuddyWater(別名Seedworm、APT34、OilRig、TA450)として追跡されており、NordVPNサービスを通じてアクセスした正規のアドレスから悪意のあるメッセージを送信することができました。
各メッセージには「コンテンツの有効化」を求める細工されたWord添付ファイルが含まれていました。これを有効にしたユーザーは、”FakeUpdate”と呼ばれるローダーを展開するマクロを実行し、その後クルー独自のバックドア「Phoenix」の更新版がインストールされます。一度インストールされると、マルウェアはオペレーターが感染システムを探索したり、認証情報を盗んだり、ファイルのアップロードやダウンロード、永続的なアクセスを維持したりすることを可能にします。
Group-IBによると、このツールキットはChrome、Edge、Opera、Braveの保存されたブラウザパスワードも盗み出し、PDQやAction1などの市販のリモート管理ツールを利用して正規の管理者トラフィックに紛れ込んでいました。
被害者の4分の3以上は外交または政府機関で、残りは国際機関や通信事業者だったとGroup-IBは述べていますが、具体的な標的は明らかにしていません。MuddyWaterの手口は長年、フィッシングやソーシャルエンジニアリングに大きく依存してきましたが、今回のキャンペーンの規模は、能力の向上か、テヘランのスパイマスターによる異例の広範な情報収集要請を示唆しています。
MuddyWaterは、イラン情報保安省と関連付けられており、少なくとも2017年から中東、アフリカ、中央アジアの政府、エネルギー、通信、防衛ネットワークを徘徊しています。通常はランサムウェアのような破壊的な攻撃ではなく、長期的なアクセスと情報収集に注力していますが、ツールやインフラが時折APT35など他のイラン系グループと重複することもあります。
Group-IBの報告によると、正規のVPNサービスと既に信頼されているメールボックスの利用により、検知が特に困難になったとのことです。「このような通信に伴う信頼と権威を悪用することで、キャンペーンは受信者を悪意のある添付ファイルを開かせる可能性を大幅に高めた」とGroup-IBは指摘しています。
この作戦は、地域の緊張や制裁圧力の中でイラン情報機関がサイバースパイ活動を強化しているという広範なパターンに合致しています。MuddyWaterは昨年、イスラエルの組織への攻撃にも関連付けられており、その際はBugSleepという別のバックドアを使用していました。そのキャンペーンは規模こそ小さかったものの、同様にソーシャルエンジニアリングによって企業メールシステムを侵害していました。
Group-IBは、MuddyWaterが「戦術とツールを進化させ続けている」と警告しつつ、長年見られるスパイ活動への注力は変わらないとしています。研究者らは、このキャンペーンが「MENA地域の政府および外交機関に対するMuddyWaterの持続的な関心を示している」と強調し、同グループが国家関連ネットワークや高価値標的に活動を集中させ続けていることを示唆しています。つまり、スパイ活動に関してはイランの作戦は明確だということです――たとえ水が濁っていても。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/24/iran_muddywater_campaign/
