イラン関連のハッカーが新たなマルウェアでヨーロッパを標的に

出典: karen roach / Shutterstock

イラン関連のサイバースパイグループが、従来の中東地域を超えて、西ヨーロッパの重要インフラ組織を標的に、進化し続けるマルウェアの亜種と攻撃手法を用いて活動範囲を拡大しています。

Check Point Softwareの研究者は、この脅威グループを「Nimbus Manticore」として追跡しており、UNC1549またはSmoke Sandstormと重複していると述べています。月曜日に公開されたレポートによると、新たな活動はデンマーク、ポルトガル、スウェーデンの防衛製造、通信、航空企業を標的としています。

高度なマルウェアツールキット

このキャンペーンの中心となっているのは、「MiniJunk」と呼ばれる高度に難読化されたバックドアで、攻撃者に感染システムへの持続的なアクセスを提供します。また、「MiniBrowse」はChromeおよびEdgeブラウザから認証情報を盗むための軽量スティーラーで、それぞれ別のバージョンが存在します。

Check PointによるMiniJunkの分析では、これは以前MandiantなどがNimbus Manticoreの使用を報告していたカスタムインプラント「Minibike」の大幅に改良されたバージョンであることが示されました。このマルウェアは、脅威アクターがファイルのアップロード・ダウンロード、プロセスの実行、追加ペイロードのロード、データの流出を可能にします。また、複数のコマンド＆コントロール（C2）サーバー（3～5台）とHTTPS経由で難読化されたトラフィックを用いて通信し、監視や検出を困難にしています。

このマルウェアの新たな機能には、これまで文書化されていなかった、侵害されたシステム上で悪意のあるダイナミックリンクライブラリ（DLL）やファイルをロードする方法が含まれています。MiniJunkはまた、ジャンクコード、異常に大きなファイル、コード署名を利用して検出を著しく困難にしており、「攻撃者の能力が大幅に向上していることを示唆している」とCheck Pointは述べています。

Check Pointによると、マルウェア作成者はMiniJunkとMiniBrowseの両方にコンパイラレベルのコード難読化を実装しており、コンパイル時に自動的にプログラムコードを変更します。攻撃者は、検出を減らし、静的解析やリバースエンジニアリングにかかる時間を大幅に増やすため、これらの難読化をすべてのマルウェアビルドに組み込むことに多大な労力を費やしているようです。

「解析を容易にするため、ジャンクコードの挿入、制御フローの難読化、不透明な述語、難読化された関数呼び出し、暗号化された文字列など、いくつかの難読化技術に対処する必要がありました」とCheck Pointは述べ、各世代のマルウェアツールが前バージョンよりも改良されていることを発見したと付け加えました。「攻撃者は相当数の被害者を標的にしているようで、これらの難読化はマルウェアが検出されずに済むだけでなく、サンプルの挙動を解明しようとする研究者の作業を遅らせています。」

検出をさらに困難にしているのは、Nimbus Manticoreの攻撃者が少なくとも2025年5月以降、SSL.comという認証局の証明書を使ってマルウェアにデジタル署名しているという事実です。Nimbus Manticoreが使用した最新の証明書の分析に基づき、Check Pointは「脅威アクターがヨーロッパの既存IT組織を装って証明書を生成した」と述べています。

高度にカスタマイズされた攻撃

この脅威グループの最新キャンペーンでの攻撃は、従来通り、正規の人事担当者を装った高度にカスタマイズされたスピアフィッシングメールから始まります。メールは被害者をAirbus、Boeing、Flydubai、Rheinmetallなどに関連しているように見える偽の求人ログインページへ誘導します。「各ターゲットには固有のURLと認証情報が与えられ、それにより各被害者の追跡とアクセス制御が可能になります」とCheck Pointは述べています。「この手法は強力なOPSEC（運用セキュリティ）と信頼性のある偽装を示しています。」

被害者が提供された認証情報で偽の求人サイトにログインすると、採用プロセス中にユーザーが期待するような内容に見えるzipアーカイブがマシンにダウンロードされます。その裏で、このアーカイブはCheck Pointが「巧妙なプロセス」と表現するマルウェアのダウンロードを被害者システム上で開始します。「実行チェーンは、マルウェアのインストールと永続化を確立するために、我々がマルチステージサイドローディングと呼ぶ独自の技術を活用しています」とCheck Pointは述べています。

Nimbus Manticoreは、セキュリティ研究者が以前イラン革命防衛隊（IRGC）と関連付けていた脅威グループです。このグループは少なくとも2022年から活動しており、Mandiantの研究者（この脅威をUNC1549として追跡）によって、イスラエルや中東の航空宇宙・防衛分野の組織を標的にしているのが確認されました。Check Pointによると、Nimbus Manticoreの一部の作戦は、ClearSkyが昨年11月に観測しイラン・ドリームジョブ・キャンペーンとして追跡したものと同じです。

Check Pointのアドバイザリには、組織が自社ネットワークでNimbus Manticoreの活動の兆候を確認するために利用できる具体的な侵害指標が含まれています。

Nimbus Manticoreのようなイラン関連の脅威グループは、中東以外の組織をますます標的にする国家系アクターの一部であり、重要インフラ、防衛、通信、航空分野に焦点を当てています。昨年、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、IRGC関連のサイバーグループが複数分野に設置されたプログラマブルロジックコントローラーを標的にしていると警告し、米国の水道・下水道施設も含まれていました。これらのキャンペーンの多くで、脅威アクターは高度にカスタマイズされたフィッシング誘導、カスタムマルウェアツールキット、高度な難読化・回避技術を用いて永続化を維持し、検出を回避し、情報を流出させています。