TokyoBlackHatNews

cyberwarriorsmiddleeast.com 5分で読了

イランのInfy APT、長年の沈黙を破り新たなマルウェア活動で再浮上

Infy脅威グループのサイバー諜報活動に関する新たな知見

古き敵の再来

脅威ハンターが収集した最新のインテリジェンスにより、「Infy」として知られ、Prince of Persia(ペルシャの王子)とも呼ばれるイランのハッカー集団が活動を再開していることが明らかになった。これは、同グループがスウェーデン、オランダ、トルコの組織を標的にしている様子が初めて観測されてから、約5年ぶりのことだ。SafeBreachのセキュリティリサーチ担当バイスプレジデントであるトメル・バーは、Infyの作戦規模は従来考えられていたよりも大きいようだと示した。バーはThe Hacker Newsと共有した詳細レポートの中で、「この脅威グループは依然として活動しており、重要で、危険だ」と述べている。

長い歴史

Infyは最古級の高度持続的脅威(APT)アクターの一つと見なされており、その活動は2004年12月まで遡って追跡できる。Palo Alto NetworksのUnit 42が2016年に公表したレポートから得られた知見は、同グループがサイバー脅威の情勢に長年存在してきたことを示している。こうした経緯があるにもかかわらず、InfyはCharming KittenやMuddyWaterといった他のイラン系脅威アクターと比べると、しばしば目立たない存在だった。

戦術と技術

同グループは主に2種類のマルウェアを使用する。Foudreと、その第2段階インプラントであるTonnerreだ。Foudreはダウンローダー兼被害者プロファイラとして機能し、フィッシングメールを通じて拡散されることが多い。被害者は悪意あるコンテンツを受け取り、それが後続としてTonnerreを配信する。Tonnerreは感染したシステムから価値の高いデータを抽出するよう設計されたインプラントである。

国境を越えた標的型キャンペーン

最近の調査結果は、Infyが標的をイラン、イラク、トルコ、インド、カナダ、そして欧州の複数国へと拡大していることを示している。更新版のFoudre(バージョン34)およびTonnerre(バージョン12〜18および50)が検出されており、Tonnerreの最新イテレーションは2025年9月に確認された。特に戦術面では進化が見られ、同グループはマクロを仕込んだMicrosoft Excelファイルの利用から、Foudreをより容易にインストールできるよう、実行ファイルを文書内に直接埋め込む手法へと移行している。

強靭なインフラと検証メカニズム

Infyが用いる最も特徴的な手法の一つは、ドメイン生成アルゴリズム(DGA)を使ってコマンド&コントロール(C2)インフラを強化している点だ。この強靭性は、マルウェアがC2ドメインを検証できる能力によってさらに高められている。FoudreとTonnerreは、特別に暗号化されたRSA署名ファイルをダウンロードすることでC2ドメインの真正性を確認する。このファイルは公開鍵で復号され、ローカルに保存された検証ファイルと照合される。

最新の分析でSafeBreachは、C2検証に使用される「key」とラベル付けされたディレクトリに加え、通信ログおよび持ち出されたファイルの保管領域を明らかにした。バーは「毎日、FoudreはRSA秘密鍵で暗号化された専用の署名ファイルをダウンロードし、埋め込まれた公開鍵を用いて検証する」と詳述している。

Telegramを介した通信

Tonnerreの最新バージョンにおける興味深い点は、「سرافراز」(ペルシャ語で「誇らしく」を意味する)という名称のTelegramグループと統合されていることだ。このグループには、コマンド発行や情報収集に用いられている可能性が高いボット(@ttestro1bot)と、@ehsan8999100というハンドル名のユーザーが含まれる。このインフラの通信プロトコルは厳格に管理されており、ボットがアクセスできるのは、事前に定義された被害者GUIDのリストに対する「tga.adr」ファイルのみとなっている。

旧来のマルウェア亜種

  • マルウェアのダウンロードを可能にした、Amaq News Finderを装った亜種。
  • Telegramメッセージをスパイする目的で設計された、MaxPinnerとして知られるトロイの木馬の更新版。
  • Deep Freezeと呼ばれる、Amaq News Finderに類似した亜種で、Foudreの展開にも使用されたもの。
  • Rugissementと指定された、詳細不明のマルウェア。

継続する脅威の情勢

2022年にInfyが沈黙しているように見えたにもかかわらず、SafeBreachの研究は同グループの作戦が継続し、進化していることを示している。活動の精緻な詳細、C2サーバー構造、そして複数のマルウェアバージョンは、このハッカー集団がもたらす持続的な脅威を浮き彫りにしている。

同時に、Charming Kittenのような他のイラン系グループも、国家レベルのアクターに典型的な精密さで活動している。DomainToolsは、Charming Kittenの戦術が従来の政府系諜報機関に似ていることを記録しており、複数のイラン系ハッキング活動の間に複雑な関係があることを示している。

手法を継続的に適応・発展させることで、Infyのようなグループは、絶えず変化するサイバー戦の環境において自らの存在意義を確かなものにしている。

翻訳元: https://cyberwarriorsmiddleeast.com/iranian-infy-apt-emerges-with-new-malware-activity-after-years-of-inactivity/

ソース: cyberwarriorsmiddleeast.com
#C2(コマンド&コントロール) #DGA(ドメイン生成アルゴリズム) #Foudre #Infy #Telegram悪用 #Tonnerre #イラン系APT #サイバー諜報 #フィッシング攻撃 #マルウェア

関連記事

Fortinet管理者による「修正済み」FortiOS 7.4.9ファームウェアでの活発な悪用報告

増大する脅威:デュアルチャネル攻撃が2026年のビジネスメール詐欺に革命をもたらす

サイバー攻撃でイタリア最大の大学ラ・サピエンツァが停止