イランと関係する脅威アクターTA453(Charming Kittenとしても知られる)が、「BlackSmith」と呼ばれるPowerShellベースのマルウェア・ツールキットを使用した高度なフィッシング攻撃を開始していることが確認された。
Proofpointが観測したこのキャンペーンは2024年7月に始まり、戦争研究所(ISW)になりすました一連のメールを通じて、著名なユダヤ人の人物を標的にした。
ソーシャルエンジニアリングの手口
ISWのリサーチディレクターを装い、TA453は標的に対してポッドキャストへの参加を持ちかけた。これは信頼関係を築くことを狙った手口である。関係が構築されると、同グループは正規のポッドキャストURLを装った悪意あるリンクを送信し、最終的にBlackSmithマルウェアを配布した。
「TA453は、標的に悪意あるコンテンツへ関与させようとして、さまざまなソーシャルエンジニアリング手法を用いている」とProofpointは説明した。
「複数の人格(ペルソナ)によるなりすましのような手法や、標的に正規のリンクを送信し、なりすました組織の実在するポッドキャストに言及することは、ユーザーの信頼を築くのに役立つ。脅威アクターが悪意あるペイロードを届ける前に時間をかけて標的とのつながりを構築すると、悪用が成功する可能性が高まる。」
BlackSmithマルウェアの機能
BlackSmithは、情報収集と機密データの流出を目的として設計されたモジュール型のPowerShellトロイの木馬である。このマルウェアは、従来のTA453ツールセットの進化形であり、さまざまな機能を「AnvilEcho」と呼ばれる単一のスクリプトに統合している。AnvilEchoは、ネットワーク通信、データ暗号化、偵察などのタスクを、アンチウイルスソフトによる検知を回避しながら実行する。
Proofpointの分析によれば、BlackSmithマルウェアには複数の段階があり、悪意あるLNKファイルを用いた初期感染ベクターからAnvilEchoの展開に至るまでが含まれる。このPowerShellトロイの木馬は、ファイルの流出、スクリーンショットの取得、さらには音声録音の可能性まで含む高度な活動を実行できる。
Proofpointによると、TA453のキャンペーンは、同グループが引き続きスパイ活動および情報収集に注力していることを示しており、イラン政府を支援する目的である可能性が高い。報告書は、同グループが手法を適応・洗練させる能力を有している点を強調しており、世界中の組織や個人にとって重大な脅威となっている。
国家支援型ハッキングについて詳しく読む:ロシアの FSB、大規模フィッシングによるスパイ活動キャンペーンの背後に
「Proofpointのアナリストは、TA453をイスラム革命防衛隊(IRGC)の個々の構成員に直接結び付けることはできないが、Proofpointは引き続き、TA453がIRGC、特にIRGC情報機関(IRGC-IO)を支援して活動していると評価している」と同社は記した。
「この評価は、Charming Kittenに関する報告とIRGC部隊との間で部隊番号の重複が見られることなど、さまざまな証拠に基づいている。」
翻訳元: https://www.infosecurity-magazine.com/news/iran-ta453-phishing-attacks-isw/
