- イラン系グループがイスラエルとエジプトのインフラを標的に
- このグループの過去の攻撃は騒がしく、検知が容易だった
- 新たな手法とマルウェアが展開された
「MuddyWater」として追跡されているイラン系のハッカーグループは、イスラエルとエジプトの重要インフラに対する攻撃で戦術を大きく変化させました。
ESET Researchが観測したこのグループの過去のキャンペーンは、戦術・技術・手順(TTP)が非常に騒がしく、容易に検知されるものでした。
しかし、グループはFooderローダーを介して展開される新たなバックドアを使い始めており、これはしばしばクラシックなスネークゲームに偽装しています。
MuddyViper、スネーク、そしてはしご
攻撃は主にイスラエルの通信、政府、石油・エネルギー分野を標的としています。このキャンペーンでは、MuddyWaterはPDF添付ファイル付きのスピアフィッシングメールを配信し、添付ファイルは無料のリモート監視・管理(RMM)ソフトウェアへのリンクとなっており、インストールファイルはOneHub、Egnyte、Mega、その他の無料ファイルホスティングサービスにホストされています。
正規のRMMソフトウェアをインストールする代わりに、これらのファイルは攻撃者がバックドアを展開できるローダーをインストールします。ESETが観測した攻撃では、Fooderと呼ばれる新たに特定されたローダーがMuddyViperバックドアを展開します。
Fooderにはユニークな特徴があり、それはしばしばスネークゲームに偽装することです。この手法は単なるカモフラージュではなく、スネークのコアロジックがローダーにカスタムの遅延機能を提供し、本来の機能を解析から隠すことができます。
MuddyViperバックドアもこれまで観測されていないもので、C/C++プログラミング言語で書かれており、システム情報の収集、ファイルのダウンロード・アップロード、ファイルやシェルコマンドの実行、偽のWindowsセキュリティダイアログを表示してWindows認証情報やブラウザデータを盗むことが可能です。
MuddyWaterのキャンペーンは、イスラエル国内のエンジニアリング、地方自治体、製造、テクノロジー、運輸、公益事業、大学など幅広い分野の17組織を標的としました。また、エジプトのテクノロジー分野の組織も標的となりました。
より詳しいMuddyWaterキャンペーンの情報や侵害の指標については、ESETの『MuddyWater: Snakes by the riverbank』リサーチをご覧ください。
