情報省・治安省(MOIS)と関係があるとされるアクターScarred Manticoreが主導する進行中のイランのスパイ活動キャンペーンが、中東の著名な組織、特に政府・軍事・通信分野を標的としていることが確認された。標的にはITサービスプロバイダー、金融機関、非政府組織(NGO)も含まれる。
Check Point Research(CPR)とSygniaのインシデント対応チームによって発見されたこのキャンペーンは、2023年半ばにピークを迎え、少なくとも1年間にわたり目立たない形で活動していたと報告されている。
本日早くに公開された勧告でCPRチームは、Scarred Manticoreには高価値組織を標的としてきた経緯があり、さまざまなInternet Information Services(IIS)ベースのバックドアを用いてWindowsサーバーに侵入していると述べた。主目的はスパイ活動だが、同グループの一部ツールは、アルバニア政府インフラに対するMOIS支援の破壊的攻撃(DEV-0861に関連)とも結び付けられている。
今回の最新キャンペーンでは、Scarred ManticoreはLIONTAILフレームワークを使用した。これは、複雑なカスタムローダー群と、さまざまなメモリ常駐型のシェルコード・ペイロードから成る。これらのインプラントはHTTP.sysドライバーの未文書化関数を利用して、受信HTTPトラフィックからペイロードを抽出し、悪意ある活動を正当なネットワークトラフィックに紛れ込ませる。
LIONTAILフレームワークは独自性が高く、既知のマルウェアファミリーとの明確なコード重複は見られない。攻撃で使用された一部ツールは、OilRigまたはOilRig関連クラスターに結び付けられた過去の活動と重なるものの、Scarred ManticoreをOilRigに直接帰属させるのは難しい。
OilRigの詳細はこちら:国家支援APTグループの活動が引き続き加速
CPRによれば、Scarred Manticoreのツールと能力の進化は、近年イランの脅威アクターが遂げた進歩を示しており、最近の作戦では過去の活動と比べてより高度な手法が観測されている。
「Scarred Manticoreの作戦は継続し、イランの長期的利益に沿って他地域へ拡大する可能性がある」と、CPRの勧告には記されている。
「最近のScarred Manticoreの活動の大半は、主として秘匿アクセスの維持とデータ抽出に焦点を当てているが、アルバニア政府ネットワークへの攻撃という憂慮すべき事例は、国家主体のアクターが情報機関のカウンターパートと協力し、アクセスを共有し得ることを想起させる。」
翻訳元: https://www.infosecurity-magazine.com/news/scarred-manticore-targets-middle/
