複数のUS企業がイランのハッキング集団MuddyWaterによる新たなキャンペーンの標的となっており、このキャンペーンは2月初旬に開始され、USとイスラエルの軍事攻撃後も継続しています。
このキャンペーンはBroadcomのSymantecおよびCarbon Blackの脅威ハンターチームによって検出されました。
被害の可能性のある標的には、US銀行、US空港、米国とカナダの非政府組織、防衛・航空宇宙部門に供給するUSソフトウェア企業のイスラエル事業が含まれます。これらの各組織は、最近数日から数週間の間にネットワーク上で疑わしいアクティビティを経験しており、脅威ハンターチームが3月5日のレポートで報告しています。
このキャンペーンには、サイバー脅威研究者により『Dindoor』と呼ばれる以前は未知のバックドアが関係しています。
再利用された証明書がイラン関連のMuddyWaterと新しいバックドアをつなぐ
Dindoorバックドアは、脅威研究者によってソフトウェア企業のイスラエル拠点、US銀行、カナダの非営利団体のネットワーク上で発見されました。
「Amy Cherne」に発行された証明書で署名されたこのバックドアは、JavaScriptおよびTypeScriptの安全なランタイムであるDenoを活用して実行されます。
研究者はまた、ソフトウェア企業からWasabiクラウドストレージバケットへRclone(クラウドストレージ上のファイルを管理するためのコマンドラインプログラム)を使用してデータを流出させる試みを観測しました。 この試みが成功したかどうかは不明です。
Fakesetという異なるPythonバックドアがUS空港のネットワーク上で発見されました。それは「Amy Cherne」と「Donald Gay」に発行された証明書で署名されていました。
Donald Gay証明書は以前、2017年から活動しているMuddyWaterに関連するマルウェアに署名するために使用されており、このグループはイラン情報セキュリティ省(MOIS)に関連しており、Seedworm、Temp Zagros、Static Kittenとしても知られています。
このバックドアはBackblazeクラウドストレージ企業に属する2つのサーバーからダウンロードされました。
Donald Gay証明書はまた、研究者が「Stagecomp」として追跡するマルウェアファミリーのサンプルに署名するために使用され、これはDarkcomp バックドアをダウンロードします。
StagecompおよびDarkcompマルウェアは、Google、Microsoft、Kasperskyを含むセキュリティベンダーによってMuddyWaterに関連付けられています。
このマルウェアはターゲットのネットワーク上では見られませんでしたが、同じ証明書の使用がMuddyWaterの関与を示唆していると、脅威ハンターチームは述べています。
「これらの侵害を中断させましたが、他の組織はまだ攻撃に対して脆弱である可能性があります」と、研究者は付け加えました。
翻訳元: https://www.infosecurity-magazine.com/news/iran-muddywater-hackers-us-firms/
