休眠状態と見られていたこの脅威グループは、偵察とデータ流出のための更新版マルウェアを用い、手法とツールを進化させながらかなり活発に活動していた。
研究者らは、イラン政府との関係が疑われる「Prince of Persia」と呼ばれる脅威アクターによる新たな活動を発見した。このグループは、複数のセキュリティ企業がその作戦を記録し、コマンド&コントロール(C2)インフラを無力化した後、2022年に休眠したように見えていた。しかし新たな証拠により、攻撃者が体制を立て直し、目立たない形で新たな被害者を引き続き標的にしていたことが示されている。
Prince of Persiaは、元々のマルウェア名に基づきInfyとしても知られ、約20年にわたり活動している。研究者らは、標的の選定やその他の要因から、イランとの関連が高いと指摘している。被害者はこれまでに35カ国で確認され、イランの反体制派や、欧州などにおける政府関連の標的が含まれていた。
このグループの攻撃とマルウェア・ツールキットを最初に詳細に記録したのは、2016年当時のPalo Alto Networksだった。同年、同社はシンクホールによりグループのC2サーバーを巻き込む、成功したテイクダウン作戦を実行した。しかしグループは1年後、FoudreとTonnerreと名付けられた新たなマルウェア亜種で復活した。フランス語でそれぞれ「稲妻」と「雷」を意味する。
セキュリティ企業SafeBreachの研究者らは新しい報告書で、「2022年に活動が途絶えたように見えたにもかかわらず、Prince of Persiaの脅威アクターはむしろその逆を行っていた」と述べた。「この多産で捉えどころのないグループに対する継続的な調査キャンペーンにより、過去3年間の活動、C2サーバー、特定されたマルウェア亜種に関する重要な詳細が明らかになった。この脅威グループは依然として活動中で、現在も通用し、危険である。」
マルウェア配布とC2インフラの変化
同グループが2022年にレーダーから外れた際、Foudreの最新既知バージョンはv27、Tonnerreはv15だった。現在、研究者が回収した最新バージョンはFoudre v34とTonnerre v17で、いずれも大きな変更が含まれている。
Foudreは偵察と被害者の識別に用いられる第1段階のマルウェアである。標的が十分に重要だと判断されると、データ流出と監視のためにTonnerreトロイの木馬が展開される。
Foudreは以前、標的が関心を持つ話題を装ったフィッシングメールの添付ファイルとして送られるMicrosoft Office文書に埋め込まれた悪意あるマクロを通じて配布されていた。最新バージョンは、埋め込みの悪意ある実行ファイルを含むExcelファイルとして配布されており、その実行ファイルはVirusTotal上のいかなるアンチウイルスエンジンにも検出されない。
埋め込みの実行ファイルは自己解凍アーカイブ(SFX)ファイルで、悪意あるDLLと、おとりのMP4動画ファイルを含む。悪意あるマクロを含むExcelファイルも引き続き使用されており、ccupdate.tmpというファイルの実行を試みる。
以前のバージョンと比べた大きな違いの一つは、新しいドメイン生成アルゴリズム(DGA)への切り替えで、これによりマルウェアはどのドメイン名でC2サーバーを見つけるかを判断する。Tonnerre v17も同じDGAを異なるキープレフィックスで使用しており、C2用に生成されるドメインは異なるものになる。
SafeBreachの研究者らは、多数のC2サーバーを特定し、そこからデータを抽出することに成功した。一部のサーバーはテスト用に使われ、別のサーバーには実際の被害者から収集されたデータが保存されていた。
研究者らは「被害者の大半はイランに所在していたが、欧州各地や、イラク、トルコ、インド、カナダといった国々にも一部存在した」と述べた。「プライバシー上の懸念からここではデータを公開しないことにしたが、権限を有する法執行機関には喜んでデータを共有する用意がある。」
このグループのキャンペーンを監視するのは難しい。攻撃者がC2サーバーを頻繁に切り替えるうえ、もはや関心のない被害者のシステムからマルウェアを削除するよう命令を出すためだ。
Telegramへの移行
より最近では、研究者らはv50として宣伝されている新たなTonnerre亜種と、それに対応する未知の新しいFoudreバージョンを特定した。これらのバージョンは新しいC2サーバー構造を使用し、そして最も重要な点として、APIを介したTelegram通信を可能にするファイルをサーバーからダウンロードできる。
Telegram機能は限られた数の被害者に対してのみ有効化されるが、研究者らはAPIを用いて設定されたTelegramチャンネルを照会することに成功した。そこには2人のメンバーがいて、1人はチャンネルボット、もう1人はペルシャ語でEhsanと書かれたユーザーだった。この人物はマルウェアの制御を担当するハッカーの一人である可能性があり、最終アクティブは12月13日だった。
研究者らは「Ehsanはイラン人に典型的な一般的なペルシャ語の名前だ」と述べた。「これは攻撃者のテストマシンのIP所在地と組み合わせると、かなり強い帰属根拠となる。私たちは数年にわたり使用されたIPアドレスを追跡したが、いずれも所在地はイランを示していた。IP所在地データベースによって都市は異なっていたものの、すべてイラン国内だった。」
研究者らはまた、2022年以前のキャンペーンで使用された他のマルウェア・サンプルやペイロードも発見した。これには、Rugissement(フランス語で「咆哮」)と呼ばれる追加のマルウェア・ファミリーの兆候、MaxPinnerの新しいバージョン(同グループが2021年に使用したTelegramベースのトロイの木馬)、そしてマルウェア配布に用いられたさまざまなトロイ化バイナリが含まれる。
報告書には、新しいDGAアルゴリズムの詳細に加え、侵害指標(IOC)やサンプルのハッシュが含まれており、今後、他社や研究者がこの捉えどころのないグループの活動を追跡する助けとなることが期待されている。
