SurceL Kurit afshen via Shutterstock
イラン系サイバースパイグループのMuddyWaterは、今年初めのキャンペーンでイスラエルとエジプトの標的に対し、これまで文書化されていなかったカスタムマルウェアを展開するために新しいツールと戦術を使用しました。
この作戦は、MuddyWaterがよりステルス性が高く高度な手法へと明確にシフトしたことを示しており、メモリ上のみで動作するローダー、カスタムバックドア、防御回避や永続化を目的とした技術の使用が含まれていました。今週発表されたレポートによると、ESETの研究者は、これらのアップグレードがMuddyWaterの能力の大きな進化を示し、従来の騒がしい運用スタイルからの転換であると述べています。
よりステルス性が高く洗練された敵対者
MuddyWater(別名Mango SandstormまたはTA450)は、少なくとも2017年から活動しており、テヘランの情報・国家安全保障省と関係があると疑われています。長年にわたり、主にイスラエルの政府機関、軍事組織、通信事業者、重要インフラ運営者から機密情報を盗むことに注力してきました。しかし、同グループは北米や中東全域など、他の地域でも被害者を出しています。
MuddyWaterは通常、悪意のある添付ファイルや偽のソフトウェアダウンロードへのリンクを含むフィッシングメールを使って標的環境へのアクセスを獲得してきました。そのツールキットには、カスタムバックドアと公開されているハッキングツールの改変版の両方が含まれています。非常に活発である一方、MuddyWaterは過去数年にわたり、ノイズが多くミスの多い運用で防御側に発見されやすいという評判を得ています。
ESETが追跡した同グループの最新キャンペーンは、2024年9月下旬から2025年3月中旬まで実施され、主にイスラエルの組織を標的としていましたが、ESETはエジプトでも少なくとも1件の被害者を確認しました。
セキュリティベンダーによると、MuddyWaterは「Fooder」として知られる新しい64ビットローダーを利用し、ペイロードを完全にメモリ上で復号・実行することで従来の検知メカニズムを回避しました。攻撃者はFooderを使って、これまで確認されていなかったバックドア「MuddyViper」を展開しました。このバックドアにより、攻撃者は侵害されたシステムを広範囲に制御できるようになりました。MuddyWaterの攻撃者は任意のコマンド実行、認証情報の窃取、データの持ち出し、リバースシェルの確立、永続化の維持が可能になりました。ESETの研究者は、「Snake」ビデオゲームに偽装した複数バージョンのFooderローダーを発見し、Snakeのロジックに似たカスタム遅延メカニズムを備えており、マルウェアの実行を遅らせることで自動サンドボックスや挙動ベースの検知ツールを回避しようとしていました。
この作戦の一環として、MuddyWaterはCE-Notes、LP-Notes、Blubなど複数のカスタム認証情報窃取ツールも展開し、ブラウザのパスワード、ログイン情報、その他の機密データを抽出しました。攻撃者はリバーストンネルを使ってデータを攻撃者管理のシステムへ送信していました。ESETの分析では、MuddyWaterの開発者が暗号化と復号にMicrosoftのCryptography API Next Generation(CNG)を使用していることが示され、攻撃者がより高度な開発能力を獲得していることが示唆されました。
他のイラン系グループとの連携?
注目すべきは、このキャンペーン中にMuddyWaterの活動が、同じくイラン系のLyceum(OilRigのサブグループ)の活動と重複したことです。少なくとも1件の事例で、ESETはMuddyWaterが初期アクセスブローカーとして被害者環境にツールを設置し、その後Lyceumがそれを利用したことを観測しました。ESETはこれを両グループ間の協力の可能性を示すものと見ています。OilRigは少なくとも2014年から活動しているイランのサイバースパイグループで、中東、ヨーロッパ、北米の政府、エネルギー、通信、金融分野を主な標的としています。
「このキャンペーンは、MuddyWaterの運用成熟度の進化を示しています」とESETはレポートで述べています。「FooderローダーやMuddyViperバックドアなど、これまで文書化されていなかったコンポーネントの展開は、ステルス性、永続性、認証情報窃取能力の強化を目指したものです」とセキュリティベンダーは指摘しています。レポートでは、MuddyWaterがビデオゲームに着想を得た回避技術、リバーストンネル、多様化したツールセットを用いていることが、より高度なアプローチを反映しているとしつつ、「グループの運用未熟さの痕跡も残っている」と述べています。これには比較的容易に検知できるPowerShellやGoベースのバックドア、MuddyWaterのマルウェアとC2インフラ間の過度に頻繁な通信などが含まれます。
MuddyWaterは、イランから活動する複数の国家支援型ハッキンググループの一つに過ぎず、スパイ活動、破壊工作、影響工作をテヘランの戦略的利益に沿って行っています。主要なイランの脅威アクターには、航空・エネルギー分野を標的とするAPT33(Elfin)、金融サービスや政府機関に焦点を当てるAPT34(OilRig)、APT35(Charming Kitten、主にジャーナリストや政治家を標的とした認証情報窃取に特化)、そしてAPT39(通信、航空宇宙、旅行会社を攻撃することで知られる)などがあります。セキュリティ研究者は、これらのグループがツールやインフラを頻繁に共有していることを観測しています。
