TokyoBlackHatNews

theregister.com 5分で読了

イラン諜報機関が米国の銀行、空港、ソフトウェア企業のネットワークにバックドア

イラン情報セキュリティ省(MOIS)の一部と考えられるイラン系サイバー集団が、2月初旬から米国の複数の企業ネットワークに埋め込まれており、銀行、ソフトウェア企業、空港などが含まれます。セキュリティ研究者によると、米国とイスラエルの軍事攻撃の後の数日間で、さらなる活動が見られたとのことです。

SymantecとCarbon Blackの脅威狩猟チームは、The Registerに対して、第三者がMuddyWater(別名Seedworm、Static Kitten)に関連する侵害指標を共有した後、ネットワーク活動とこれまで未知のバックドアを発見したと述べました。

FBI、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)、および英国国家サイバーセキュリティセンター(NCSC)は、MuddyWaterはイラン情報セキュリティ省(MOIS)の一部であり、2018年頃からイラン情報機関に代わってサイバーキャンペーンを実行してきたと述べています。

SymantecおよびCarbon Black脅威狩猟チームのシニア情報分析官であるBrigid O Gormanは、The Registerに対して、これらの指標の1つが「この攻撃クラスターにつながり、追加のマルウェアを発見することができた」と述べました。

銀行、空港、ソフトウェア企業に加えて、影響を受けた組織には米国とカナダの非政府組織が含まれると、セキュリティ研究者は木曜日の情報報告書で述べています。さらに、侵害されたソフトウェア企業は、その技術を防衛・航空宇宙産業などに供給しており、イスラエルにも拠点があります。 

研究者によると、イスラエルの作戦が主な目標のようであり、彼らがDindoorと名付けた新しいバックドアは、イスラエルの拠点のネットワーク、および米国の銀行とカナダの非営利組織のネットワークで発見されました。

現在の敵対行為が始まる前に米国とイスラエルのネットワークに既に存在することは、脅威グループが攻撃を仕掛けるための潜在的に危険な立場に置かれています

「ソフトウェア企業からRcloneを使用してWasabiクラウドストレージバケットにデータを流出させようとする試みもありました」とセキュリティ調査官は書いています。「これが成功したかどうかは不明です。」

Dindoorは、JavaScriptとTypeScriptの安全なランタイムであるDenoを使用して実行されます。バックドアは「Amy Cherne」に発行された証明書で署名されました。

FakesetというPythonベースの別のバックドアが、空港と米国の非営利組織のネットワークで発見されました。それは「Amy Cherne」と「Donald Gay」に発行された証明書で署名され、後者はMuddyWaterにリンクされたStagecompおよびDarkcompマルウェアに署名するために以前に使用されていました。

これらの証明書の再利用は、MuddyWaterが米国のネットワーク活動の背後にあったことを示していると、アナリストは述べています。

SymantecおよびCarbon Black脅威狩猟チームは、侵入者がどのようにして被害者のネットワークへの初期アクセスを獲得したかについては不明です。このグループは通常、フィッシングメールまたは公開されているアプリケーションの脆弱性を初期感染ベクトルとして使用していると、Gormanは述べています。

これらの侵入の意図について、そしてMuddyWaterが防衛情報や他の機密IPを盗むために検索しているのか、それとも将来のサイバー攻撃のための前置きなのかについて尋ねられたとき、Gormanは「確実に言うことは難しい」と述べました。

 「イランのサイバー作戦は動機の範囲が多岐にわたる」と彼女は付け加えました。「場合によっては情報収集が関係しています。他の場合は、混乱です。」

2025年5月、MuddyWaterはエルサレムからのライブCCTVストリームを含むサーバを侵害し、クルーが潜在的な目標について都市を監視することができました。6月23日、イランは都市を爆撃しました。同じ日、イスラエル当局は、イラン軍が侵害されたセキュリティカメラを利用してリアルタイム情報を収集し、ミサイル標的を調整していると報告しました。

この最新キャンペーンでのデータ流出の試みは情報収集を示していますが、「動機が元々混乱ではなかった場合でも、Seedwormのようなグループが戦争に対応してピボットし、すでに侵害した組織に対して混乱攻撃を仕掛けることが可能です」と、Gormanは述べました。 

「現在の敵対行為が始まる前に米国とイスラエルのネットワークに既に存在することは、脅威グループが攻撃を仕掛けるための潜在的に危険な立場に置かれています」と彼女は付け加えました。

水曜日、Check Pointセキュリティ研究者は、2月28日に戦争が始まってからイスラエルおよび他の中東諸国全体でインターネット接続された監視カメラをターゲットとする「数百」の悪用試みを追跡したと述べました。 

他のアナリストは、過去1週間でのスパイ遠征、デジタルプローブ、および分散型サービス拒否(DDoS)攻撃の増加に注目していますが、今のところ、破壊的なサイバー攻撃はありません。®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/05/mudywater_backdoor_us_networks/

ソース: go.theregister.com
#Dindoor #Fakeset #MOIS #MuddyWater #イラン #サイバー攻撃 #セキュリティ脅威 #バックドア #マルウェア #米国

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張