イラン系のサイバースパイグループUNC1549は、LinkedIn上での求人活動を装った新たなキャンペーンで、ヨーロッパの通信企業を標的とし、11組織の34台のデバイスへの侵入に成功したとされています。
スイスのサイバーセキュリティ企業PRODAFTは、このグループをSubtle Snailという名称で追跡しています。同グループはイランのイスラム革命防衛隊(IRGC)に関連していると評価されています。標的となった11社は、カナダ、フランス、アラブ首長国連邦、イギリス、アメリカに所在しています。
「このグループは、実在する企業の人事担当者を装って従業員に接触し、Azureクラウドサービスを経由したコマンド&コントロール(C2)インフラと通信するMINIBIKEバックドアの亜種を展開することで、検知を回避しながら標的を侵害します」と、同社はレポートでThe Hacker Newsに伝えています。
UNC1549(別名TA455)は、少なくとも2022年6月から活動していると考えられており、Smoke SandstormやCrimson Sandstorm(別名Imperial Kitten、TA456、Tortoiseshell、Yellow Liderc)といった他のイラン系ハッカーグループと重複があります。この脅威アクターは、Google傘下のMandiantによって2024年2月に初めて記録されました。
UNC1549による求人詐欺の手法は、その後イスラエルのサイバーセキュリティ企業ClearSkyによって詳細に分析されており、同グループが2023年9月には航空宇宙産業を標的とし、SnailResinやSlugResinといったマルウェアファミリーを配布していたことが明らかになっています。
「このグループの主な動機は、通信企業への侵入であり、航空宇宙や防衛組織にも関心を持ち、長期的な潜伏と戦略的スパイ活動のための機密データの流出を目指しています」とPRODAFTは述べています。
攻撃の流れとしては、LinkedInなどのプラットフォームで標的組織内の主要人物、特に研究者、開発者、IT管理者など、重要なシステムや開発環境への高いアクセス権を持つ人物を特定するための広範な偵察が行われます。
次の段階では、スピアフィッシングメールを送信してメールアドレスの有効性を確認し、追加情報を収集した後、偽の求人活動という作戦の核心部分を実行します。
これを実現するために、攻撃者はLinkedIn上に説得力のある人事アカウントを作成し、架空の求人情報で標的に接触、徐々に信頼と信用を築いて攻撃の成功率を高めます。このキャンペーンは、Subtle Snailの運用者が被害者ごとに攻撃を細かく調整していることが特徴です。
被害者がオファーに興味を示すと、メールで連絡があり、TelespazioやSafran Groupなどの企業を模倣した偽ドメインをクリックして面接のスケジュールを設定するよう促されます。必要事項を入力すると、自動的にZIPアーカイブのダウンロードが開始されます。
ZIPファイル内には実行ファイルが含まれており、起動するとDLLサイドローディングによってMINIBIKEという悪意あるDLLが実行され、システム情報の収集や、Microsoft Visual C/C++ DLL形式の追加ペイロードを待機します。これにより偵察、キーストロークやクリップボード内容の記録、Microsoft Outlookの認証情報の窃取、Google Chrome、Brave、Microsoft Edgeからのウェブブラウザデータの収集、スクリーンショットの取得などが行われます。
特にウェブブラウザの情報窃取には、Chrome-App-Bound-Encryption-Decryptionという公開ツールが組み込まれており、Googleが導入したアプリ連動型暗号化保護を回避して、ブラウザに保存されたパスワードを復号・窃取します。
「Subtle Snailのチームは、ネットワーク構成情報の収集であっても、毎回被害者ごとに固有のDLLを作成・展開しています」とPRODAFTは指摘します。「脅威アクターが使用する悪意あるDLLファイルは、エクスポートセクションにおいて類似した特徴を示します。」
「正規のDLLファイルを改変し、DLLサイドローディング攻撃を円滑に実行できるようにしています。関数名を直接の文字列変数に置き換えることで、DLLのエクスポートテーブルを操作し、正規ファイルに見せかけつつ悪意ある活動を行い、一般的な検知メカニズムを回避しています。」
MINIBIKEは、C2通信を促進するための12種類のコマンドをサポートするフル機能・モジュラー型バックドアであり、ファイルやディレクトリの列挙、実行中プロセスの一覧表示と特定プロセスの終了、ファイルの分割アップロード、exe・DLL・BAT・CMDペイロードの実行などが可能です。
また、正規のAzureクラウドサービスや仮想プライベートサーバー(VPS)をプロキシインフラとして利用することで、C2トラフィックを通常のクラウド通信に紛れ込ませるほか、Windowsレジストリを改変してシステム起動後に自動的に読み込まれるようにしています。
さらに、解析を妨害するためのアンチデバッグ・アンチサンドボックス技術を備え、制御フローのフラット化やカスタムハッシュアルゴリズムによってWindows API関数を実行時に解決し、リバースエンジニアリングへの耐性や全体機能の解明を困難にしています。
「Subtle Snailの活動は、情報収集と重要な通信ネットワークへの長期的アクセスを組み合わせることで深刻な被害をもたらします」とPRODAFTは述べています。「単にデバイスを感染させるだけでなく、機密データやアクセス維持の手段を積極的に探しています。」
「あらかじめ定められたパスを使って探索を進め、メールやVPN構成、その他の制御維持に役立つ情報の窃取に注力しています。また、共有フォルダに保存された機密ファイルも狙い、企業秘密や個人情報の流出を引き起こす可能性があります。」
MuddyWaterの多様化したツールキットが明らかに#
この発表は、Group-IBが、もう一つのイラン政府支援型ハッカーグループMuddyWaterのインフラとマルウェアツールセットについて詳細を公開したタイミングで行われました。MuddyWaterは、リモート監視・管理(RMM)ツールへの依存度を大幅に下げ、独自のバックドアや以下のようなツールを活用しています。
- BugSleep(2024年5月初出):コマンド実行やファイル転送を可能にするPythonベースのバックドア
- LiteInject(2025年2月初出):ポータブル実行ファイルインジェクター
- StealthCache(2025年3月初出):ファイルの読み書き、自身の終了・再起動、セキュリティプロセスのスキャン、認証情報やファイルの窃取が可能な多機能バックドア
- Fooder(2025年3月初出):暗号化ペイロードをメモリ上で読み込み・復号・実行できるローダー
- Phoenix(2025年4月初出):BugSleepの簡易版を展開するためのマルウェア
- CannonRat:侵害システムを遠隔操作するための悪意あるツール
- UDPGangster:UDPプロトコルでC2サーバーと通信する基本的なバックドア
MuddyWaterは2017年から活動しており、イラン情報保安省(MOIS)傘下の組織とされています。Boggy Serpens、Mango Sandstorm、TA450としても追跡されており、中東の通信、政府、エネルギー、防衛、重要インフラを標的としてきましたが、近年はヨーロッパやアメリカへの攻撃も増加しています。
「最近の活動では、依然として感染のためにフィッシングを利用し、悪意あるマクロ付きのマルドック(悪意ある文書)を活用しています。インフラ分析からは、Amazon Web Services(AWS)を悪意ある資産のホスティングに積極的に利用し、Cloudflareサービスを使ってインフラの指紋を隠し、解析を妨害していることが明らかになりました」とGroup-IBの研究者Mansour Alhmoudは述べています。
「MuddyWaterの継続的なキャンペーンは、イラン情報機関の要請を支援しつつ、国家主導のサイバー作戦においても合理的な否認性を維持していることを示しています。これは地域の競合や西側諸国を標的としたものです。」
翻訳元: https://thehackernews.com/2025/09/unc1549-hacks-34-devices-in-11-telecom.html