新たな報告書により、今夏初めの12日間にわたるイスラエルとの戦争に伴い、親イラン派ハッカーグループによるサイバー脅威活動が急増したことが明らかになりました。
SecurityScorecardは、25万件のTelegramメッセージを分析し、情報収集、プロパガンダ、重要インフラや公共機関への直接攻撃など、さまざまな活動を明らかにしました。
これらは、国家支援のハッカー、代理組織、イランの戦争目標を支持する「イデオロギー的に連携したハクティビスト」の緩やかな集団など、多様なグループによるものでした。
これらの活動には以下が含まれます:
- 少なくとも178のTelegramグループにおける親イラン派プロパガンダ。「イデオロギー主導のメッセージ」と「協調的なサイバー作戦」が融合していました。チャンネルには「Islamic Hacker Army group」「Resistance Toast」「Al-Qassam Toast」などが含まれます。
- パレスチナ系ハクティビストのCyber Islamic ResistanceやCyber Fattah team、アフガニスタンのFatimion cyber team、チュニジアのMaskers Cyber Force、Islamic Hacker Army groupやsharp333などのイスラム系組織による、「地域の不満を訴える物語」を掲げたDDoSキャンペーン、フィッシング作戦、データダンプ
- 親イラン派ハクティビストFatimion Cyber Teamによるウェブ改ざんやDDoS攻撃
- 国家系サイバー抵抗組織Cyber Fattah teamによる、サウジゲームズのPII(個人識別情報)を含む数千件の記録の窃取とダンプ。これはウェブの脆弱性をスキャンし、悪用することで実行されました。
- ハクティビストグループCyber Islamic Resistanceによるウェブサイト改ざん、サービス妨害、プロパガンダ放送、「士気高揚メッセージ」
- 金銭目的の集団Tunisian Maskers Cyber Forceによるウェブサイト改ざん、データ流出作戦、ゼロデイ脆弱性の販売
国家支援APTの攻撃
これらの活動は、APTグループ「Tortoiseshell」(別名Cuboid Sandstorm、Yellow Liderc、Imperial Kitten)による、より伝統的な国家支援型攻撃と並行して行われました。
「両国間の紛争が激化してからわずか数日後、このアクターはNameCheapでnowsupportisrael[.]com、supportisraelfunding[.]com、stoprirannukes[.]comなど、紛争をテーマにしたドメイン名を購入し始めました。その後、これらのドメインをホストするためにいくつかの仮想サーバーも購入しました」とSecurityScorecardは説明しています。
「脅威アクターはこれらのVPSをEvilginxフィッシングフレームワークと併用し、イスラエル支援を訴える請願フォームでヘブライ語話者を誘い出しました。特に2023年10月7日のハマスによるイスラエル攻撃に焦点を当てていました。」
その後、このグループは標的に対し、リモートアクセス型トロイの木馬「RemCosRAT」マルウェアを展開しました。
報告書は、この紛争に関与する脅威アクターが、イスラム革命防衛隊(IRGC)との連携や高度な技術力においてさまざまであると指摘しています。
「国家支援グループと機会主義的グループの違いを理解することは、ますます複雑化し、相互に関連するサイバーおよび実戦的な紛争を理解する上で極めて重要です」と述べています。
「主な推奨事項としては、紛争時におけるフィッシングやソーシャルエンジニアリングの危険性に対する従業員の意識向上、そして自組織が標的キャンペーンの範囲内に入る可能性があるかどうかをセキュリティベンダーに評価してもらうことが挙げられます。」
翻訳元: https://www.infosecurity-magazine.com/news/proiran-hackers-aligned-cyber/