出典:robertharding(Alamy Stock Photo経由)
イランはこの夏、著名な米国シンクタンクに対して高度に標的を絞ったフィッシング攻撃を実施しました。
自分のことを好まない人たちが自分について何を言っているのか、気になったことはありませんか?その意味では、あなたはイラン・イスラム共和国と少し似ているかもしれません。2025年6月から8月にかけて、イラン政府は米国の学者や外交政策の専門家をスパイし、戦略的な情報(あるいは単なるゴシップ)を集めようとしました。
ただし、どの脅威アクターがすべてのスパイ活動を行ったのかはまだ明らかになっていません。Proofpointはこのグループを「UNK_SmudgedSerpent」と呼んでいますが、その戦術・技術・手順(TTP)はイランの主要な高度持続的脅威(APT)の多くと重なっています。このグループは、TA453(別名:Charming Kitten、Mint Sandstorm)と同じ標的を狙い、フィッシング手法も模倣していました。一方で、TA455(Smoke Sandstorm)と一致するインフラを利用していました。また、TA450(MuddyWater、Mango Sandstorm)以外でリモート監視・管理(RMM)ソフトウェアを展開したことが知られている唯一のイランの脅威アクターでもありました。
イランによる米国政策専門家へのスパイ活動
影響力のあるブルッキングス研究所の外交政策プログラム副所長であるスザンヌ・マロニー氏は、自身のXのプロフィールで「イラン中毒者」と自称しています。UNK_SmudgedSerpentは、米国におけるイラン関連の議論の中心人物をなりすますために、明らかに下調べをしていました。
2025年6月中旬、このグループはわずかに綴りを変えたGmailアカウントと丁寧に作り込まれたメール署名を使い、マロニー氏になりすまそうとしました。そして、別の米国シンクタンクの20人のメンバーに、プロジェクトの共同作業を持ちかけるという、もはや使い古された手口でメールを送りました。その後のケースでは、ハッカーは経済学者で中東研究者のパトリック・クロウソン氏になりすまし、イランの地政学的問題に直接関連する誘い文句を使っていました。
標的が反応した場合、UNK_SmudgedSerpentはまず相手を精査し、その後、オープンソース(OSS)の生産性プラットフォームOnlyOfficeやMicrosoft Teamsへのリンクを装った悪意のあるURLを送信しました。不審なリダイレクトを経て、そのリンクはMicrosoft 365の認証情報を盗むフィッシングページに誘導され、被害者のメールアドレスと雇用先のロゴが事前に読み込まれて本物らしさを演出していました。
Proofpointが観測した攻撃チェーンでは、被害者がMicrosoftのポータルに疑念を示したため、UNK_SmudgedSerpentはさらに手を打ちました。被害者に偽の共同作業イニシアチブに関連するものとして、ダミーの文書やzipファイルをダウンロードさせようとしました。そのzipにはRMMのインストーラーが含まれており、さらに奇妙なことに、UNK_SmudgedSerpentは2つ目のRMMも展開しました。研究者たちはこの点の説明に苦労しました。「認証情報の収集が成功しなかったため、UNK_SmudgedSerpentはRMMソフトウェアを使い捨ての選択肢として展開した可能性があり、脅威アクターがProofpointの調査を疑い始めたのかもしれない」とレポートは述べています。
しかし、最も奇妙だったのは、この全体像が既知のイランの脅威活動の背景と比べていかに異質に見えたかという点です。研究者たちは、攻撃の第1段階――UNK_SmudgedSerpentが標的とした人物のタイプ、フィッシングメッセージのトーン、使用したメールプロバイダー、偽のMicrosoft Teamsリンク、認証情報の窃取とマルウェアの配布という目的――が、一般的にCharming Kittenとして知られるグループを強く想起させると特徴づけました。しかし、OnlyOfficeの部分や攻撃を支えたインフラは、TA455の手口によく似ていました。さらに混乱を招くことに、イラン政府系の脅威アクターの中でRMMを利用しているのはMuddyWaterだけだと指摘しています。
UNK_SmudgedSerpentとは何者か――そしてそれは重要なのか?
Proofpointはいくつかの仮説を立てています。たとえば、イラン政府内の1つ以上のサイバーチームが解散・統合・再編され、メンバーが専門性を持ち越した可能性があります。
別の説明としては、複数のグループにインフラやマルウェアを提供する中央集権的な組織が存在する可能性もあります。あるいは、政府のサイバー脅威アクターを抱える2つの機関――イスラム革命防衛隊(IRGC)と情報省(MOIS)――の間で協力や交流の要素があるのかもしれません。
さらに多くの可能性も考えられます。イランの国家系ハッカーの多くは同じ場所で訓練されているため、表向きは異なるグループでも、似たような柔軟なスキルセットを持つメンバーを雇用している可能性があります。Proofpointの上級脅威リサーチャーであるサヘル・ナウマン氏は「イラン国内の支援組織や請負業者は多くの場合、特定の機関に特化していますが、IRGCとMOISの両方にサービスを提供するアカデミーや訓練機関の例もあり、スキルや技術がチーム間だけでなく機関間でも共有されている可能性がある」と述べています。
ナウマン氏にとって、このような攻撃の背後にいる人物を正確に知ることは、単なる学術的な関心にとどまりません。それはインテリジェンス主導のセキュリティアプローチの中心であり、また「アトリビューション(攻撃者の特定)は、組織のリーダーやディレクターがサイバーセキュリティや脅威インテリジェンスへの財政的・人的投資を正当化するうえでビジネス的にも重要です。特定の脅威モデルを持つ企業にとって、攻撃者は過去にも同じ業界や地域の組織を標的にしており、今後も標的にする可能性が高いため、現実的な脅威や潜在的な侵害の姿、予防のための具体的なステップを示す証拠となります。」
彼女は「アトリビューションの影響は確かに定量化が難しいが、理解できない脅威に対して防御するのは難しい」と認めています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/iranian-apt-phishes-us-policy-wonks
