イランに関連する長期的なサイバースパイ活動が、ヨーロッパでその活動を強化しています。
Nimbus Manticoreとして知られるこのグループは、イラン革命防衛隊(IRGC)の優先事項に沿って、航空宇宙、通信、防衛産業を標的としてきた歴史があります。
ヨーロッパでのスピアフィッシングの急増
Check Point Research(CPR)の新たな調査によると、このグループの最近の活動は西ヨーロッパへのシフトを示しており、デンマーク、スウェーデン、ポルトガルの組織が高いリスクにさらされています。
攻撃者は有名な航空宇宙や通信企業のリクルーターを装い、被害者を巧妙に作られた偽のキャリアポータルへ誘導します。各ターゲットには個別のログイン認証情報が与えられ、この手法により被害者の追跡やアクセスの厳格な管理が可能となっています。
そこから、攻撃者は高度な多段階感染プロセスを開始する悪意のあるアーカイブを配布します。これには、正規のWindows実行ファイル(Microsoft Defenderのコンポーネントを含む)に悪意のあるDLLファイルをサイドロードし、検知を回避する手法が含まれます。
イランのサイバー作戦についてさらに読む:「英国に対する『重大な』イランのサイバー脅威」と議員が警告
進化するマルウェアツールキット
これらのキャンペーンの中心には、カスタムバックドアのファミリーがあります。2022年に「Minibike」として初めて特定されたこのマルウェアは、その後「MiniJunk」や「MiniBrowse」などの新たな亜種へと進化しました。これらのツールにより、攻撃者はファイルの持ち出し、ブラウザ認証情報の窃取、リモートコマンドの実行が可能となり、さらに解析を困難にする高度な難読化が施されています。
このマルウェアは以下のような高度な技術を示しています:
-
通常のセキュリティチェックを回避する多段階DLLサイドローディング
-
ウイルス対策スキャンを回避するためのバイナリサイズの膨張
-
信頼できるプロバイダーによる有効なコード署名証明書の使用
-
ジャンクコードや暗号化された文字列を挿入するコンパイラレベルの難読化
「このキャンペーンは、ステルス性、耐障害性、運用上のセキュリティを重視する成熟した十分なリソースを持つアクターを反映しています」とCPRは述べています。
耐障害性のためのクラウドインフラ
Nimbus Manticoreは、そのインフラをホストするためにクラウドサービスに大きく依存しており、Azure App Serviceで登録されたドメインやCloudflareで保護されたものが含まれます。この構成により冗長性が確保され、1つのコマンド&コントロール(C2)サーバーが停止しても、攻撃者は迅速に再構築できます。
このキャンペーンの標的は、過去のイスラエルや湾岸諸国に対する作戦と一致しています。
しかし、上述の通り、CPRの研究者は最近、航空宇宙や通信企業を装った偽のキャリアポータルに関連する攻撃により、ヨーロッパへの明確な拡大を指摘しています。最もリスクの高い分野は以下の通りです:
-
通信分野、特に衛星プロバイダー
-
航空宇宙および航空会社
-
防衛請負業者
CPRの分析によれば、このキャンペーンは2025年中旬のイスラエルとイランの12日間の紛争中も活動を継続していました。
高度な難読化と正規インフラの利用によって、グループの巧妙さが増していることが浮き彫りになっています。
翻訳元: https://www.infosecurity-magazine.com/news/iran-nimbus-manticore-european/