中東の緊張が劇的に高まり始めたのは先週のことで、米国とイスラエルの共同軍事作戦「ライオンの咆哮作戦」によるイランの核・軍事施設への攻撃が引き金となりました。
イランは報復としてミサイルと無人機で対抗し、湾岸地域のエネルギー、航空旅客、外交的安定性を混乱させました。この実力紛争の最中、イラン政府系の高度な持続的脅威(APT)は世界中の重要インフラを標的としたサイバー作戦を強化しています。
Nozomi Networks はイラン関連のAPTアラートの急増を報告しており、製造業と運輸セクターが優先されています。
テレメトリーデータは紛争初期段階での攻撃の体系的な増加を示しており、過去の紛争では133%の増加が見られました。MuddyWater、OilRig、APT33、UNC1549などのグループがこの急増を主導しており、スパイ活動と破壊工作に焦点を当てています。
MuddyWater(別名APT34、Seedworm)はイランの情報セキュリティ省(MOIS)に関連しており、スピアフィッシング、認証情報の盗難、および生存地帯技術を使用して持続性を確保しています。最近、GhostFetchなどのカスタムマルウェアを使用してオペレーション・オラランポでMENA地域の組織を標的にしました。
イランのAPTグループ
OilRig(APT34、Helix Kitten)は、中東のエネルギーおよび通信セクターに対して、フィッシング、Webシェル、およびスパイ活動のためのPowerShellを使用しています。
APT33(Elfin、Refined Kitten)はサプライチェーン攻撃とパスワードスプレーを通じて航空宇宙、エネルギー、政府セクターを攻撃します。2025年下半期に活動しているUNC1549はイランの優先事項に合致した防衛および通信セクターを標的にしています。
| 脅威アクター | 別名 | 主要な標的 | 主要なTTP(Nozomi Networks) |
|---|---|---|---|
| MuddyWater | APT34、OilRig | エネルギー、通信、政府 | スピアフィッシング、LOLBins |
| OilRig | APT34、Helix Kitten | 金融、防衛 | Webシェル、認証情報の収集 |
| APT33 | Elfin | 航空宇宙、エネルギー | パスワードスプレー、サプライチェーン |
| UNC1549 | CURIUM | 防衛、通信 | スパイ活動、破壊工作 |
中東の攻撃対象領域の脆弱性
中東の組織は高い脆弱性の露出を示しており、2025年に発見された欠陥の61%が高/重大なCVSSスコアを有しており、世界平均の48%と比較しています。EPSSスコア>1%は脆弱性の8%に影響を及ぼし、これは世界平均の2倍です。エアギャップのみでは不十分であり、効率的なパッチ適用が不可欠です。
最近の中東での検出における主なMITRE ATT&CK TTPには、デフォルト認証情報の悪用(T1110)、有効なアカウントの使用(T1078)、ブルートフォース攻撃(T1110.001)、スキャン(T1595)が含まれます。これらは将来の破壊工作のための初期偵察を示す信号です。
イランのTTPに対する高まったアラート感度を備えた継続的なOTモニタリングを有効化してください。脅威インテリジェンスシグネチャーを更新し、Nozomiの顧客はリアルタイムフィードを有効にする必要があります。
脆弱性にパッチを当て、デフォルト認証情報を変更し、IT/OTセグメンテーションを再評価してください。産業用プロトコルをベースライン化し、MuddyWaterのようなグループに対する検出を検証してください。
ネットワークトラフィック内の低速かつ遅いアクティビティを探してください。サイバーと物理的なリスクを融合したハイブリッド脅威に対するインシデント対応を準備してください。可視性、セグメンテーション、テスト済みプランを融合させた組織がこれらのキャンペーンに最も耐えることができます。
翻訳元: https://gbhackers.com/iranian-apt-groups/
