コンテンツにスキップするには Enter キーを押してください

イラン情報省、50以上の大使館・省庁・国際機関をフィッシング

投稿日 2025年9月4日

A variety of national flags

出典:Kirsty McLaren(Alamy Stock Photo経由)

イランの国家系ハッカーは、多数の侵害されたメールアカウントを利用して、世界中の外交機関をフィッシング攻撃しました。

Dream SecurityとClear Sky Cyber Securityの研究者たちは、この活動を、イラン情報省(MOIS)に関連する高度持続的脅威(APT)で、通称「Homeland Justice」と呼ばれるグループに結びつけています。Homeland Justiceの戦略の鍵は、104件の公式・非公式の侵害されたユニークなアドレスを使い、政府の公式業務を装ってメールを送信したことです。もちろん、それらのメールには情報窃取型マルウェアを含むファイルが添付されていました。

イランのフィッシングキャンペーン

このキャンペーンで最初のメールは8月19日に送信されました。これはパリにあるオマーン外務省の正規アドレスを使って生成され、元の組織に向けて送られました。

このメールには、今後の多くのフィッシング攻撃と同じ特徴が見られました。メールは、発信元を隠すためにヨルダンのNordVPN出口ノードを経由して転送されていました。添付ファイルにはぼかしの入ったWord文書が含まれており、内容をはっきり見るにはマクロの有効化が必要でした。マクロを有効にすると、「イラン・イスラエル戦争後の地域の未来と中東におけるアラブ諸国の役割」というオンラインセミナーへの招待状が表示され、これは省庁にとって関心の高いホットな話題でした。この文書には悪意のあるVisual Basic for Applications(VBA)マクロも隠されていました。

このようなハイレベルな作戦にしては、やや古風な手法でした。「Microsoftがドキュメントマクロのデフォルトセキュリティ制御を強化して以来、悪意のあるマクロは減少し、認証情報の窃取やセッションクッキーの乗っ取りを狙う中間者攻撃(AiTM)などの手法が増加しています」と、BeyondTrustの主任サイバーセキュリティ技術者であるKevin E. Greene氏は説明します。

しかし「驚くかもしれませんが」とDream Securityのチームは述べます。「マクロ有効の文書は今でも効果があり、フィッシングは依然として最も効果的な初期侵入手段の一つです。この手法は“古典的”ですが、今回は正規の侵害アカウントからメールが送信されたため、信頼性が増し、クリック率も高くなったと考えられます。そのレベルの信頼があれば、単純な手法でも成功します」。彼らは、少なくとも観測された被害者の一人が実際にマクロを有効にしたと中程度の確信を持って評価しています。

そこから、悪意のあるペイロードがデコードされ実行された可能性があります。攻撃者はこの段階でいくつかの基本的な回避技術も取り入れており、例えば「vbHide」VBAパラメータを使ってマルウェアの実行中に表示を隠し、さらに被害者のDocumentsフォルダに一見無害な「.log」拡張子を付けて保存するなどしています。また、「laylay」と呼ばれる関数を使い、繰り返しのカウント処理を行ってペイロードの実行を遅延させ、セキュリティソフトの検知を回避しようとした可能性があります。

最終的なペイロード「sysProcUpdate」は、基本的なシステム情報を収集し、その後の悪意ある活動の前段階として機能したとみられます。

Dreamの研究者は、このキャンペーンは開始から数日で終了した可能性が高いと評価しており、執筆時点では攻撃者のC2(コマンド&コントロール)インフラは非稼働状態のようです。

世界中の大使館が標的に

この種のフィッシングメールは、約4ダースの大使館、領事館、政府省庁に送信され、ほぼ世界中の国々を代表していました。具体的には以下の通りです:

  • オマーン、カタール、バーレーン、イスラエル、ヨルダン、UAEなど中東各国の領事館や省庁

  • イタリア、フランス、ルーマニア、スペイン、オランダ、ハンガリー、ドイツ、オーストリア、スウェーデンの大使館・領事館

  • エチオピア、ナイジェリア、ルワンダ、マラウイなど12カ国(うち8カ国は非公開)のアフリカ諸国の大使館・領事館

  • カナダ、ブラジル、コロンビア、ペルー、アルゼンチンなどを含む西半球11カ国の外交機関・省庁

これらの政府機関以外にも、攻撃者は少なくとも10の著名な国際組織を標的にしました。国連、その薬物・犯罪事務所(UNODC)、児童基金(UNICEF)、アフリカ連合、人道支援団体のマルタ騎士団などです。世界銀行や、海事分野、エネルギー分野の組織も標的となりました。

「地政学的緊張が高まる時代において、大使館が本国に報告している内容や、外交電報などの通信を知ることは、敵対勢力にとって戦略的な優位性をもたらします」とGreene氏は述べています。「また、直接的な外国攻撃と見なされずに政治的得点を稼ぐ“トロフィーハンティング”や示威行為の要素もあります。」

彼はさらに、「異なるタイムゾーンにある事実上の遠隔拠点として、大使館はリソースが限られていたり、システムのサポートや設定に現地リソースを頼ることもあります。また、契約社員や現地スタッフを雇用しているため、全てのサイバーセキュリティリスクに精通していなかったり、第二・第三言語で書かれた不自然なフィッシングメールを即座に見抜けない場合もあり、時に格好の標的となり得ます」と指摘しています。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/iran-mois-50-embassies-ministries-intl-orgs

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です