イランの国家支援を受けるサイバーアクターは、ますます犯罪エコシステムに目を向けており、地下のサイバー犯罪グループとの関係を深めています。
この変化は、特に情報保安省(MOIS)と関連するアクター、例えばVoid Manticore(「Handala Hack」としても知られている)とMuddyWaterの中で明らかです。
犯罪ツール、サービス、およびインフラストラクチャを運用に統合することで、イランのハッカーは能力を拡大し、彼らの活動の帰属を複雑にしています。
長年、イランの情報機関は秘密操作の隠れ蓑としてサイバー犯罪とハクティビズムを使用してきました。
伝統的に、イランのサイバーアクターは、犯罪的なペルソナを採用するか、一般的なサイバー犯罪戦術を模倣することで、国家支援の攻撃を隠してきました。例えば、身代金要求型マルウェアを使用して本当の意図を隠蔽しています。
しかし、最近の活動は、犯罪エコシステムとのより直接的な関与を示しており、いくつかのイラン系グループにとって、サイバー犯罪はもはや単なるカバーストーリーではなく、中核的な運用リソースとなったことを示唆しています。
過去には、イランの体制のサイバーアクターは、主に敵を破壊するか、政治的に動機付けられた攻撃を実行するための偽装形態として犯罪的方法を採用していました。
現在、これらのアクターは犯罪の地下から得たツールと技術を活用して、彼らのリーチと能力を拡張しています。
この戦略は彼らの技術的能力を強化し、攻撃の起源を隠すための新しい方法を提供し、防御者がイラン国家に活動を追跡することを困難にします。
この新しいアプローチの最も明確な例の1つは、Void Mantcoreグループです。このグループは以前、サイバー攻撃でHandalaのような「ハクティビスト」のペルソナを使用していました。
このグループは現在、Rhadamanthysのような商用情報窃取ツールを使用していることが知られており、ダークウェブで広く販売されています。情報窃取ツールは、システムを破壊するためのワイパーなどの他の破壊的操作を開始する前に、機密データを侵害するために使用されます。
例えば、Handalaはイスラエルの組織を標的とするフィッシングキャンペーンでRhadamanthysを使用しており、被害者をマルウェアのダウンロードに誘い込むために公式アップデートになりすましを含めています。
MOISと関連する別の著名なアクターであるMuddyWaterは、サイバー犯罪クラスターを活用することで、サイバー操作を拡大してきました。
この重複は、特にTsundere Botnet(DinDoorとしても知られている)で顕著であり、サイバー犯罪ボットネットと一般的に関連するNode.jsとDeno技術の両方を使用しています。
イランの国家アクターとサイバー犯罪ネットワークの協力の増加は、国家の脅威グループの運用戦略における重大なシフトを示しています。
checkpointで犯罪的マルウェアを利用することで、ランサムウェア戦術、およびMaaSプラットフォームを使用して、イランはサイバー能力を強化しながら、悪意のある活動の帰属を複雑にしています。
この傾向が続く中、組織は警戒を怠らず、サイバー脅威の変化する性質を認識し、最新のサイバー攻撃に関与するアクターの複雑なネットワークに適応する必要があります。
翻訳元: https://cyberpress.org/iranian-actors-join-criminal-nexus/