研究者ら、イスラエルおよび中東の他国の組織を標的とするRustyWaterマルウェアを発見
CloudSEKによると、イラン関連の高度持続的脅威(APT)グループMuddyWaterが、イスラエルおよび中東の他国の組織を標的とする継続中のスパイ活動キャンペーンで、Rustベースのインプラントを展開した。
CloudSEKのTRIADチームは、中東全域の外交、海運、金融、通信関連組織を標的とするスピアフィッシング・キャンペーンを特定したと述べた。このキャンペーンは、アイコンの偽装と悪意のあるWord文書を用いてRustyWaterを配布しており、研究者らはこれを「従来のツールキットに対する大幅なアップグレードを示すRustベースのインプラント」と説明している。
同社はブログ投稿で「歴史的に、Muddy Waterは初期侵入および侵害後の操作にPowerShellとVBSローダーを依存してきた」と記した。「Rustベースのインプラントの導入は、より構造化され、モジュール化され、低ノイズなRAT機能へと向かう顕著なツール進化を示している。」
米国のサイバーセキュリティ機関CISAによると、MicrosoftがMango Sandstormとして追跡し、ProofPointがTA450と特定しているMuddyWaterは、イラン情報省(MOIS)の下で活動している。セキュリティ企業によれば、同グループは少なくとも2017年以降活動しており、中東、アジア、欧州全域で政府機関、通信事業者、重要インフラを標的としてきた。
今回の調査は、2024年を通じて、そして2025年初頭にかけてもMuddyWaterの活動が継続している状況の中で行われた。ESETの研究者は2024年12月に、同グループが2024年9月から2025年3月にかけてイスラエルの組織に対しMuddyViperバックドアを展開したことを示す調査結果を公表した。セキュリティ企業はまた、最近のキャンペーンでMuddyWaterがBugSleepインプラントを展開し、正規のリモート監視・管理(RMM)ツールを使用していることも記録している。
スピアフィッシングによる配布
ブログ投稿によると、攻撃チェーンは悪意のあるZIPアーカイブを含むスピアフィッシングメールから始まる。アーカイブには正規のPDF文書と、PDFアイコンを付けて偽装された実行ファイルが含まれている。被害者がそのファイルを実行すると、おとりのPDFを表示しつつマルウェアを実行する、と研究者らは記している。
研究者らは、初期ローダーがWindowsレジストリの変更によって永続化を確立し、二次ペイロードとしてRustyWaterを展開すると書いている。このインプラントはHTTP/HTTPSプロトコルを用いてC2(コマンド&コントロール)基盤と通信し、ファイルシステムの列挙、コマンド実行、データ流出をサポートする。
CloudSEKは、DropboxやWordPressプラットフォームになりすますインフラを含む、正規サービスを模倣したC2ドメインを特定した。複数のドメインはHostingerを通じて登録されており、同社はこのホスティングプロバイダーが脅威アクターに頻繁に悪用されていると述べた。
Rustは回避面で優位性を提供
CloudSEKの研究者は、ブログ投稿によれば、RustyWaterはRustで開発されており、メモリ安全性の機能とクロスプラットフォーム対応能力により、マルウェア作者の間で利用が増えていると述べた。セキュリティ研究者によると、ロシアのGossamer Bearや中国関連のアクターを含む他の国家支援グループも、最近のキャンペーンでRustベースのマルウェアを展開している。
このインプラントは、仮想マシン環境、デバッグツール、サンドボックスシステムのチェックを組み込んでいる。研究者らは「RustyWaterは、アンチデバッグおよび改ざん防止メカニズムを確立することで実行を開始する」と記した。「デバッグの試みを捕捉するためにVectored Exception Handler(VEH)を登録し、ユーザー名、コンピューター名、ドメイン参加状況など、被害端末の情報を体系的に収集する。」
研究者らによれば、RustyWaterは文字列の難読化と多段階のペイロード配布も使用する。このマルウェアは位置非依存のXOR暗号化で全ての文字列を暗号化し、検知回避のためにC2へのコールバック間隔にランダムなスリープを実装している、とブログ投稿は述べている。
より広範な標的化
CloudSEKは、調査は主にイスラエル国内の標的化に焦点を当てたものの、MuddyWaterがインド、UAE、その他地域内の国々の被害者を含むように活動を拡大した可能性を示す兆候を研究者らが観測したと述べた。
ブログ投稿によると、イスラエルの組織を標的としたキャンペーンでは、政府機関やイスラエル国防軍に関連するヘブライ語のおとり文書が使用されていた。
セキュリティ研究者によれば、MuddyWaterは政府および軍事インテリジェンスの収集を目的としたスパイ活動に注力してきた。同グループに帰属される過去のキャンペーンでは、さまざまなリモートアクセスツールやカスタムマルウェア・ファミリーが使用されており、PhonyC2のコマンド&コントロール・フレームワークや、SimpleHelpのような正規のリモート管理ツールが含まれる。
2024年11月、Amazon Threat Intelligenceは、MuddyWaterの活動をその後のミサイル攻撃と関連付け、同グループがイスラエルおよび紅海での攻撃に先立ち、ライブCCTV映像を含む侵害済みサーバーにアクセスしていたことを示した。CloudSEKは、組織に対し、メールセキュリティ制御の実装、従業員がフィッシングの試みを識別できるようにするセキュリティ意識向上トレーニングの実施、そして不審なプロセス挙動やネットワーク通信パターンを識別可能なエンドポイント検知・対応(EDR)ソリューションの導入を推奨した。
