セキュリティ研究者らは、重要インフラや戦略的セクターに関連する企業を含む、米国の組織に対するイラン関連のサイバー活動が増加していることを警告しています。
最近の侵入はSeedworm(MuddyWater、Temp Zagros、Static Kittenとしても知られている)に関連付けられており、スパイ活動と秘密のネットワークアクセスに関連する長年のイラン脅威グループです。
活動は2026年2月に始まり、最近数週間も続いています。報告されたターゲットには、米国の銀行、米国の空港、イスラエルで事業を行う米国ソフトウェア企業、および米国とカナダの非営利組織が含まれます。
研究者らによると、イラン、米国、イスラエルを巻き込む軍事的緊張が高まっている時期に起きており、その時間的位置は重要であると述べています。
これは、既に侵害されたネットワークが、将来の破壊的、破壊的、または情報駆動型の作戦に使用される可能性があることへの懸念を高めています。
最も重要な発見の1つは、現在Dindoorと呼ばれている、以前は未知のバックドアです。これは、米国ソフトウェア企業のイスラエル支社のネットワークで発見されました。
米国の銀行とカナダの非営利組織のシステムにも見られました。DindoorはDeno(JavaScriptおよびTypeScriptランタイム)を使用して実行されます。研究者らによると、マルウェアは「Amy Cherne」に発行された証明書を使用して署名されたと述べています。
Fakesetという名前のPythonバックドアである別の疑わしいツールが、米国の空港と非営利組織のネットワークで発見されました。
このマルウェアは、「Amy Cherne」と「Donald Gay」に発行された証明書で署名されました。Donald Gay証明書は、以前Seedworm脅威に関連するマルウェアにリンクされていました。FakesetはBackblazeクラウドストレージでホストされているインフラストラクチャからダウンロードされました。
研究者らはまた、Rcloneを使用してソフトウェア企業からWasabiクラウドストレージバケットにデータを移動する試みも観察しました。
それが流出試行に成功したかどうかはまだ不明です。それでも、複数のバックドア、証明書の重複、クラウドベースのステージング方法の存在は、持続性とステルス性を目的とした協調キャンペーンを示唆しています。
Seedwormはスパイ活動中心の作戦の歴史を持っていますが、イラン関連のセキュリティグループは、過去のキャンペーンでワイパー、DDoS攻撃、認証情報収集、メールボックス侵害、流出操作も使用しています。
つまり、防御者は静かな侵入と、より大きな破壊的な行動の両方に備える必要があります。
銀行、輸送、エネルギー、通信、ヘルスケア、防衛、およびロジスティクスの組織は、繰り返されたログイン失敗、パスワードスプレー、疑わしいクラウド転送、Rcloneのような予期しないツール使用、メールボックス悪用、およびインターネット向けシステムへの異常なアクセスに注意する必要があります。
契約業者アクセスの監視、MFAの実装、レガシー認証の制限、運用ネットワークのセグメント化、およびオフラインバックアップの維持も重要です。
より広い教訓は明らかです:イラン関連のアクターはすでに一部のネットワーク内にいる可能性があります。防御者にとって、優先事項は早期アクセスを検出し、それをすばやく抑止し、スパイ活動が破壊に変わる前に回復力を強化することです。
翻訳元: https://cyberpress.org/iran-hackers-threaten-infrastructure/