イランをめぐる紛争は現在、地域全体のサイバースパイ活動の形成に影響を与えています。2026年2月下旬の戦争開始以来、セキュリティ研究者は、中東およびその周辺の政府機関、外交機関、政策機関を狙うためにイラン関連の誘い文句を使用したフィッシングキャンペーンの増加を報告しています。
このアクティビティには、TA453やTA473などの既知の脅威グループによる活動、および複数の新たに追跡されているクラスターが含まれます。
研究者によると、これらのキャンペーンは2つの明確なトレンドを示しています。まず、一部の攻撃者は単に戦争を時宜を得たトピックとして使用して、クリック率を向上させています。
最も活動的な新しいクラスターの1つは、アヤトラ・ハメネイの死に関する虚偽の主張およびイスラエルがペルシャ湾の石油ガスインフラを攻撃する可能性があるという警告を含む、紛争に関連した劇的なテーマを使用していました。これらのメールは、Google Driveでホストされているパスワード保護されたアーカイブにリンクされています。
その中には、JPG画像に偽装されたLNKショートカットファイルが含まれていました。開くと、DLLサイドローディングを悪用してCobalt Strikeペイロードをメモリで実行する隠しローダーが起動されました。
TA402として追跡されている別のキャンペーンは、中東の政府機関を狙うために、イラク政府の侵害されたメールアカウントと攻撃者が管理するGmailアドレスを使用していました。メッセージはイランでの米軍の可能な軍事作戦を参照していました。
これらには、被害者の場所に応じて、偽の文書を表示するか、Microsoft Outlook Web Appのように見えるようにスタイル化された認証情報収集ページを表示するリンクが含まれていました。
研究者はまた、Winter Vivernとしても知られるTA473を追跡し、ヨーロッパと中東の政府機関をターゲットにしていました。グループは欧州理事会議長のスポークスパーソンからのものであると見せかけるメールを送信していました。
添付ファイルは、おとりイメージを表示し、ターゲットのメールアドレスを含むHTTPリクエストを静かに送信するHTMLファイルでした。これはおそらく追跡とエンゲージメント監視のためでした。
一方、APT42またはCharming Kittenとしても知られるイラン系のスパイ活動者TA453は、戦争中も通常のインテリジェンス収集活動を続けました。
観察された1つのケースでは、グループは中東防空に関するProofpointラウンドテーブルに関する信頼できるメールスレッドを通じて、米国のシンクタンクターゲットとの関係を構築していました。
イラン紛争は軍事的および外交的緊張を引き起こしているだけでなく、サイバー脅威行為者にとって強力なソーシャルエンジニアリングテーマも生み出しています。
防御側にとって、リスクは増加しています。なぜなら、これらのメッセージは実際のイベント、侵害された政府のアカウント、クラウドサービス、およびカスタマイズされた認証情報盗み取りページを混ぜて、フィッシングをより説得力があり、検出が難しくしているからです。
翻訳元: https://cyberpress.org/iran-lures-drive-phishing/