イラン政府とのつながりがあるグループが、Telegramメッセージングアプリを通じてマルウェアを展開し、世界中のイラン反体制派やテヘランの他の反対派を狙っていると、FBIが金曜日のアラートで述べた。
FBIは、情報セキュリティ省と関連する攻撃者がこのキャンペーンの背後にいると述べており、このキャンペーンは2023年までさかのぼる。しかし、同局は現在、イランと米国・イスラエル同盟間の紛争のため、アラートをエスカレートさせていると述べている。
「観察された被害者プロフィールには、イラン反体制派、イランに反対するジャーナリスト、イラン政府の物語に反する信念を持つ組織のメンバー、およびイランがイラン政府への脅威と認識する他の個人が含まれていた。ただし、このマルウェアはイランが関心を持つ個人を標的にするために使用される可能性がある。」とアラートは述べている。「このマルウェアにより、標的となった当事者に対する情報収集、データ漏洩、および評判被害が生じた。」
今月、医療機器メーカーであるStrykerへのハッキングの責任を主張したイランの親パレスチナグループであるハンダラは、反体制派のハッキングから収集した情報を使用して2025年にハック・アンド・リークキャンペーンを実施したとFBIは評価している。(Strykerは月曜日に証券取引委員会に通知を送付し、事件の最新情報を提供した。)
米国当局者は紛争開始以来、イランからのサイバー攻撃に大幅な増加は見られていないと述べているが、専門家はパターンが現れるまでに数週間かかる可能性があると指摘している。
Telegramはイランで人気のある通信チャネルである。イランのハッカーはTelegramを頻繁に使用して計画された攻撃について議論する。一方、イスラム革命防衛隊は、Telegramベースの反対派チャネルのメンバーである場合、起訴される可能性があると警告もしている。IranWireは先週報告した。
FBIは調査したマルウェアサンプルから、このスキームはPictory、KeePass、Telegramなどのアプリに偽装するハッカーから始まると述べた。ハッカーはTelegramボットを使用してコマンドと制御を構成する。
初期アクセスを取得するために、ハッカーは本人になりすましたり、ソーシャルメディアプラットフォームのテクニカルサポートになりすましたりして被害者を操作しようとする。その後、被害者をファイル転送を受け入れるよう誘導し、マルウェアを起動させる。
「複数の観察に基づいて、マルウェアのステージ1は被害者がマルウェアをダウンロードする可能性を高めるために被害者の生活パターンに合わせてカスタマイズされているように見え、これはイランのサイバー行為者が被害者と関わる前にターゲット偵察を実行した可能性が高いことを示している」とFBIは述べた。
FBIのアラートは、メッセージングアプリを使用して目的を遂行する攻撃者についての一連の政府警告の最新版である。
TelegramのスポークスパーソンであるRemi Vaughnは、メールでの回答の中で次のように述べた。「悪意のある行為者は、他のメッセンジャー、電子メール、直接的なウェブ接続を含む利用可能なチャネルを使用してマルウェアを制御できる。Telegramを使用してソフトウェアを制御することに特別なものはないが、モデレーターはマルウェアに関与していることが判明しているアカウントを定期的に削除する。」
翻訳元: https://cyberscoop.com/fbi-iranian-hackers-targeting-opponents-with-telegram-malware/
