イランとの関連が疑われる脅威行為者は、数百の組織、主に中東の地方自治体に対してパスワードスプレー攻撃を実施しており、セキュリティ研究者はこのキャンペーンが、ミサイル攻撃後の爆弾被害評価をサポートすることを目的としていた可能性があると考えています。
テルアビブを拠点とするCheck Point Researchは火曜日に、攻撃者は複数のソースIPアドレスを使用して多数のMicrosoft 365アカウントを標的にし、イスラエルの300以上の組織と、アラブ首長国連邦の25以上の組織に影響を与えたと述べました。パスワードスプレーの大部分がこれら2つの中東の国を襲いましたが、研究者はアメリカ、ヨーロッパ、サウジアラビアの「限定的な数」の標的に対して同じ攻撃者からの同様の活動を追跡しました。
攻撃は3月3日、3月13日、3月23日の3波で発生し、イスラム革命防衛隊のPeach SandstormおよびGray Sandstormを含むイランとの関連が疑われるグループは、被害者のMicrosoft 365環境に対する初期アクセスを取得し、機密情報を盗むためにこの方法を使用することが知られています。
イスラエルの自治体部門がパスワードスプレー攻撃の矢面に立ちながら、技術(63件の試行)、輸送・物流(32件)、ヘルスケア(28件)、製造業(28件)を含む他の業界も標的にされました。
地方自治体はミサイル関連の物理的被害への対応に重要な役割を果たしており、Check Pointはパスワードスプレーで標的となった組織とミサイル攻撃の標的となった都市の間にある程度の相関関係があることに気づきました。「これはこのキャンペーンが運動学的作戦と爆弾被害評価(BDA)活動をサポートすることを意図していた可能性が高いことを示唆しています」と研究者は述べました。
攻撃の最初の段階であるパスワードスプレーは、数百の組織のMicrosoftアカウントを弱いパスワードで攻撃することを含みます。攻撃者は、Internet Explorer 10(IE10)を装ったUser-Agentで頻繁に変更されるTor終了ノードを使用してこれらのスキャンを実行します:Mozilla/5.0(compatible; MSIE 10.0; Windows NT 6.1; Trident/6.0)。
攻撃者が機能する認証情報を見つけると、地理的な制限を回避するためにイスラエルに地理的に位置する複数のVPN IPアドレス(WindscribeのIPレンジ185.191.204.XまたはNordVPNのIPレンジ169.150.227.X)からログインします。
その後、有効な認証情報を使用して、個人的な電子メール通信および他の機密データにアクセスします。
「M365ログの分析はGray Sandstormとの類似点を示唆しており、Tor終了ノードを介してこれらの攻撃を実施するためのレッドチームツールの使用を含みます」と脅威ハンターは述べており、攻撃者はまたAS35758(Rachamim Aviel Twito)でホストされている商用VPNノードも使用したと付け加えており、このインフラストラクチャは中東で最近疑われているイラン関連のサイバー作戦に登場しています。
パスワードスプレー攻撃は、別のイラン関連グループがFBI長官カッシュパテルの個人メールアカウントをハックし、彼の履歴書と写真をリークしたと主張し、「これは単なる私たちの始まりです」と警告したことに続きます。
イランの情報機関との関連を持つ破壊的なストライカーサイバー攻撃の背後にあるクルーであるHandala Hackは、金曜日に彼らのウェブサイトにパテルのデータを投稿しました。FBIと仲間たちは1週間前にこのグループのウェブサイトを一時的に妨害しましたが、彼らは数日以内に新しいドメインを立ち上げました。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/31/iran_password_spraying_m365/
