UNC2428として知られるイラン関連の脅威アクターが、2024年10月にイスラエルを狙った求人テーマのソーシャルエンジニアリングキャンペーンの一環として、MURKYTOURというバックドアを配布していることが観測されました。
Google傘下のMandiantは、UNC2428をイランと連携した脅威アクターとして説明し、サイバースパイ活動に関連する作戦に従事していると述べています。この侵入セットは、「複雑な欺瞞技術の連鎖」を通じてマルウェアを配布したとされています。
「UNC2428のソーシャルエンジニアリングキャンペーンは、イスラエルの防衛請負業者ラファエルからの求人機会を装って個人を狙った」と同社は2025年の年次M-Trendsレポートで述べています。
興味を示した個人は、ラファエルを模倣したサイトにリダイレクトされ、そこで求人応募を支援するためのツールをダウンロードするよう求められました。
そのツール(「RafaelConnect.exe」)はLONEFLEETと呼ばれるインストーラーで、起動すると被害者に対してグラフィカルユーザーインターフェース(GUI)を提示し、個人情報を入力して履歴書を提出するよう促します。
提出後、MURKYTOURバックドアはLEAFPILEと呼ばれるランチャーを介してバックグラウンドプロセスとして起動し、攻撃者に対して侵害されたマシンへの持続的なアクセスを許可します。
「イラン関連の脅威アクターは、マルウェアの実行とインストールを正規のアプリケーションやソフトウェアとして偽装するためにグラフィカルユーザーインターフェース(GUI)を組み込んでいます」とMandiantは述べています。「ユーザーに典型的なインストーラーを提示し、使用された誘引の形式と機能を模倣するように設定されたGUIの追加は、ターゲットとなった個人の疑念を減少させることができます。」
このキャンペーンは、イスラエル国家サイバー局がBlack Shadowという名のイランの脅威アクターに帰属させた活動と重なっています。
イラン情報・安全保障省(MOIS)を代表して活動していると評価されているこのハッキンググループは、イスラエルの学術、観光、通信、金融、交通、医療、政府、技術を含む幅広い業界を標的にしていることで知られています。
Mandiantによれば、UNC2428は2024年にイスラエルを狙った多くのイランの脅威活動クラスターの一つです。著名なグループの一つは、イスラエルを拠点とするユーザーを対象に独自のPOKYBLIGHTワイパーを使用したCyber Toufanです。
UNC3313は、スピアフィッシングキャンペーンを通じて監視と戦略的情報収集活動を行っている別のイラン関連の脅威グループです。UNC3313は、2022年2月に同社によって初めて文書化され、MuddyWaterと関連していると考えられています。
「脅威アクターは、人気のあるファイル共有サービスにマルウェアをホストし、トレーニングやウェビナーをテーマにしたフィッシング誘引内にリンクを埋め込みました」とMandiantは述べています。「そのようなキャンペーンの一つで、UNC3313はJELLYBEANドロッパーとCANDYBOXバックドアをフィッシング作戦で標的にされた組織や個人に配布しました。」
UNC3313によって仕掛けられた攻撃は、検出努力をかわし、持続的なリモートアクセスを提供するために、9つもの異なる正規のリモート監視および管理(RMM)ツールに大きく依存しており、これはMuddyWaterグループの特徴的な戦術です。
脅威インテリジェンス企業はまた、2024年7月にイラン関連の敵対者がPalo Alto Networks GlobalProtectリモートアクセスソフトウェアのインストーラーとして偽装してCACTUSPALというコードネームのバックドアを配布していることを観測したと述べています。
インストールウィザードは起動時に.NETバックドアを密かに展開し、その後、外部のコマンド・アンド・コントロール(C2)サーバーと通信する前にプロセスのインスタンスが1つだけ実行されていることを確認します。
RMMツールの使用にもかかわらず、UNC1549のようなイランの脅威アクターは、クラウドインフラストラクチャをその手法に組み込むためのステップを踏んでいることも観測されています。これにより、彼らの行動が企業環境で一般的なサービスと調和することを保証しています。
「タイプスクワッティングやドメインの再利用といった技術に加えて、脅威アクターはクラウドインフラストラクチャ上にC2ノードやペイロードをホストし、クラウドネイティブドメインを使用することで、彼らの作戦に対する監視を減少させることができると発見しました」とMandiantは述べています。
イランの脅威の状況に関する洞察は、APT42(別名Charming Kitten)なしでは不完全です。このグループは、データの流出のための資格情報収集と特注のマルウェア配信のための精巧なソーシャルエンジニアリングと関係構築の努力で知られています。
脅威アクターは、Mandiantによれば、資格情報収集キャンペーンの一環としてGoogle、Microsoft、Yahoo!を装った偽のログインページを展開し、Google SitesやDropboxを使用してターゲットを偽のGoogle Meetランディングページやログインページに誘導しました。
全体として、サイバーセキュリティ企業は、2024年に中東でのキャンペーンでイランのアクターが使用した20以上の独自のマルウェアファミリー(ドロッパー、ダウンローダー、バックドアを含む)を特定しました。特定されたバックドアのうち、DODGYLAFFAとSPAREPRIZEは、イラク政府機関を標的にした攻撃でAPT34(別名OilRig)によって使用されました。
「イラン関連の脅威アクターがイラン政権の利益に沿ったサイバー作戦を追求し続ける中で、彼らは現在のセキュリティ状況に適応するために手法を変更するでしょう」とMandiantは述べています。