2025年9月3日Ravie Lakshmananデータ漏洩 / サイバースパイ活動
イランに関連するグループが、ヨーロッパおよび世界各地の大使館や領事館を標的とした「組織的」かつ「複数波」にわたるスピアフィッシングキャンペーンに関与していることが判明しました。
この活動は、イスラエルのサイバーセキュリティ企業Dreamによって、Homeland Justiceとして知られるグループが行う広範な攻撃的サイバー活動と関連するイラン系のオペレーターによるものとされています。
「世界中の複数の政府関係者に対して、正規の外交通信を装ったメールが送信されました」と同社は述べています。「証拠は、地政学的緊張が高まる中、外交・政府機関を狙ったより広範な地域的スパイ活動を示しています。」
攻撃の手口は、イランとイスラエル間の地政学的緊張に関連したテーマのスピアフィッシングメールを利用し、悪意のあるMicrosoft Wordファイルを送信するというものです。ファイルを開くと、受信者に「コンテンツの有効化」を促し、埋め込まれたVisual Basic for Applications(VBA)マクロを実行させ、マルウェアのペイロードを展開します。
Dreamによると、これらのメールは中東、アフリカ、ヨーロッパ、アジア、アメリカ大陸の大使館、領事館、国際機関に送信されており、広範囲にわたるフィッシング活動であることが示唆されています。特にヨーロッパの大使館とアフリカの組織が最も集中的に標的とされたとされています。
これらのデジタルメッセージは、信憑性を高めるため、政府関係者や疑似政府組織に属する104件のユニークな侵害済みアドレスから送信されました。少なくとも一部のメールは、パリにあるオマーン外務省(*@fm.gov.om)のハッキングされたメールボックスから発信されていました。
「誘導メールの内容は一貫して緊急の外務省(MFA)通信を参照し、権威を示し、コンテンツにアクセスするためのマクロ有効化という一般的な慣習を悪用していました。これは、意図的に痕跡を隠した、よく計画されたスパイ活動の特徴です」とDreamは述べています。
攻撃の最終目的は、VBAマクロを利用して永続化を確立し、コマンド&コントロール(C2)サーバーと通信し、システム情報を収集できる実行ファイルを展開することです。
また、サイバーセキュリティ企業ClearSkyも先月末、このキャンペーンの一部を詳述し、フィッシングメールが複数の外務省に送信されたと述べています。
「同様の難読化技術は、2023年にイランの脅威アクターがアルバニアのモジャヘディン・ハルクを標的にした際にも使用されていました」と同社はXへの投稿で述べています。「この活動は同じイランの脅威アクターと関連していると中程度の確信をもって評価しています。」
翻訳元: https://thehackernews.com/2025/09/iranian-hackers-exploit-100-embassy.html