テヘラン系と考えられるハッカーがイラン反政府抗議活動の支持者を新しいサイバースパイ活動キャンペーンで標的にしており、研究者らが発見した。
スイスのサイバーセキュリティ企業Acronisが発見したこのキャンペーンは1月初旬に始まり、イスラム共和国体制の終焉を求めるイラン全土での大規模な全国的デモンストレーションが勃発した直後のことだった。
研究者らは、攻撃者が暴動の報道を制限するため当局が実施した広範なインターネット遮断後の情報需要の急増を利用した可能性が高いと述べている。
脅威行為者は本物の抗議映像と「イランの反乱都市」からの更新情報を提供すると説明されたペルシャ語レポートが組み込まれた悪意のあるファイルを配布した。アーカイブ内の2つのファイルはビデオと画像に偽装され、研究者がCRESCENTHARVESTと名付けた未発表のマルウェア株を配信した。
このマルウェアはリモートアクセストロージャンと情報窃取ツールの両方の機能を果たす。コマンド実行、キーロギング、保存されている認証情報、閲覧履歴、クッキー、Telegramアカウント情報を含む機密データの抽出が可能である。
また、インストール済みのアンチウイルスソフトウェアを検出し、その動作を調整することも可能であり、保護が不十分なシステムではより積極的になるか、検出を回避するために活動を最小化する。
キャンペーン背後のグループは特定されていませんが、Acronisは攻撃者のコード、インフラストラクチャ、方法がイラン系の脅威行為者との関連を示唆していると述べた。
「継続的な政治的混乱の中で、このキャンペーンは特に抗議に同情するペルシャ語を話すイラン人を標的とするように作成されたように見えますが、イラン国内から信頼できる情報を求める活動家、ジャーナリスト、その他の人物も危険にさらされる可能性があります」と研究者らは述べた。
イラン全土での継続的なインターネット遮断を考えると、このキャンペーンは国内の標的よりもむしろ海外にいるイラン人またはその支持者を標的としている可能性が高いと彼らは付け加えた。
初期の感染方法は不明なままですが、研究者らは、キャンペーンがおそらく悪意のあるファイルを配信する前に信頼を築くために設計されたスピアフィッシングまたは長期のソーシャルエンジニアリング活動で始まったと評価しています。
翻訳元: https://therecord.media/hackers-target-iran-protest-supporters-cyber-campaign
