MuddyWaterは現在、ロシアのマルウェア・アズ・ア・サービス(MaaS)プラットフォームを兵器化して「ChainShell」と呼ばれる新しい作戦を実行しており、イラン国家の標的設定と商用開発されたサイバー犯罪ツールを組み合わせている。
この評価は、設定が不十分なコマンド・アンド・コントロール(C2)ウェブサーバー、15個のマルウェアサンプル、およびChainShellという名前の以前に文書化されていないJavaScript/Node.jsペイロードに基づいている。
調査官らは、MuddyWaterがイスラエルの標的に対して少なくとも2つのCastleRATビルドを実行し、同じ露出したインフラストラクチャから追加のTAG-150 JavaScriptRATバリアントをデプロイしていると結論付けている。
JUMPSECは、イラン諜報グループMuddyWaterに帰属するインフラストラクチャとロシア語を話す犯罪者によって開発・維持されているTAG-150のCastleRAT MaaSプラットフォーム間の直接的な運用上のリンクを文書化した。
これにより、伝統的な国家指向のアクターがツールの所有者ではなく、マルチテナントロシアMaaSエコシステム内の有料顧客として位置づけられている。
ChainShell:新しいブロックチェーンC2エージェント
この作戦を結びつけるキーとなるアーティファクトはreset.ps1であり、Farsiコメントとターゲティング用のイスラエルIPレンジを含む157.20.182.49のMuddyWater帰属C2から復元されたPowerShellデプロイメントスクリプトである。
このスクリプトはNode.jsをインストールし、組み込みペイロードをAES復号化し、2つのコンポーネント(ブロックチェーンベースのC2エージェントであるsysuu2etiprun.jsと、ドロッパー/インストーラーであるVfZUSQi6oerKau.js)を起動する。
このコードは、サーバーがnew Function()を介して任意のJavaScriptをプッシュし、コールバックを介して結果を受け取る「実行シェル」モデルを実装しており、クライアントに組み込まれたスティーラーやキーロガー機能がない。
ChainShellと並行して、分析官は同じC2ホスト上のステガノグラフィックJPEG画像に組み込まれた「Build 120」と「Build 13」というネイティブCastleRATペイロードを2つ発見した。
両方のバイナリは、「IsabellaWine」などの文字列を含むハードコードされたテンプレート識別子を共有し、これらがTAG-150 MaaSコードベースから派生していることを確認し、わずか48時間の間にコンパイルされたことを確認する。
タイムライン分析は、ベンダーがキャンペーンの側面を露出した後でもMuddyWaterがこのインフラストラクチャを継続して使用していることを示している。新しい配信インストーラーは3月11日に出現し、JavaScriptRATサンプルは3月16日に更新され、MuddyWater C2に連絡する悪意のあるマクロドキュメントは3月20日までの状態である。
すべてのペイロードは、各操作のキャンペーンIDとビルド番号をローテーションしながら、TAG-150のテンプレート化されたビルダー定数を保持している。
証明書、JWT、および属性チェーン
MuddyWaterへの属性は、TAG-150ツールを既知のMuddyWaterインプラントに接続する詳細な証明書と構成証跡に依存している。
JavaScriptマルウェア単独では、MuddyWaterの属性を証明しない。属性はAmy Cherne証明書チェーンと157サーバーに依存している。
SSL.comによって「Amy Cherne」および「Donald Gay」の名前で発行されたコード署名証明書は、複数のベンダーによってMuddyWaterに既に帰属するツールであるStageCompに署名するために使用され、CastleLoader/CastleRATチェーンを配信するMSIインストーラーにも使用された。
これらのインストーラーの行動分析は、「Smokest」キャンペーンIDを含むJSON Web Token(JWT)とuserID bb47c0615477a877を使用してマルチテナントserialmenot.com C2に到達し、「VirtualSmokestGuy120」などのBuild 120とBuild 666スケジュール済みタスク名の内側にも出現する識別子を示している。
JUMPSECはこの以前に文書化されていないNode.jsエージェントを「ChainShell」と名付けており、イーサリアムスマートコントラクトから複数のRPCプロバイダーを経由してC2エンドポイントを解決し、AES-256-CBC-暗号化WebSocketトラフィックを介して通信することに注意している。
JUMPSECは、157.20.182.49サーバーからのbashhistoryとのリンクをさらに強化し、CastleRAT C2ポート9999(Build 120)と8888(Build 13)の明示的な自己テストを示している。
MuddyWater(Seedworm、Mango Sandstorm、TA450、Static Kittenとしても追跡)は、2017年以降活動しているイランのMOIS関連諜報グループであり、中東および西側全体の政府、防衛、通信、およびエネルギー組織を定期的に標的としている。
その最新のカスタムPowerShellバックドアおよび既製の遠隔監視ツールからTAG-150の専門的なプラットフォームへのシフトにより、グループは長い開発サイクルなしにHidden VNC、認証情報盗難、および高度なブラウザデータ流出などの機能への迅速なアクセスを取得している。
防御者にとって、イラン国家アクターによるロシアの犯罪ツールの採用は事件対応を複雑にし、マルウェアファミリーのみに基づいた初期トリアージは、国家が支援するスパイ活動ではなくロシアのサイバー犯罪として侵入を誤分類する可能性がある。
防衛、航空宇宙、エネルギー、および政府の組織、特にイスラエルおよび周辺地域の組織は、CastleRAT、CastleLoader、DinDoor様のJavaScriptエージェント、および現在のChainShellをMuddyWater活動の潜在的な指標として扱う必要があり、これらのアーティファクトがFarsi言語インフラストラクチャおよびイスラエル重点の標的設定セットと一緒に表示される場合の調査を優先するべきである。
侵害のインジケーター
| インジケーター | コンテキスト |
| 23.94.145.120:9999 | Build 120 C2 |
| 157.20.182.49:8888 | Build 13 C2 + オペレーター インフラストラクチャ |
| 172.86.123.222 | ステージング (Petuhon.zip、Smokest120.zip) |
| ttrdomennew.com | Build 13 C2ドメイン |
| serialmenot.com | Gen 1 Deno MaaS C2 (共有マルチテナント — LeakNetでも使用) |
| sharecodepro.com | Gen 1 Deno MaaS C2 (2026年1月、早期ローテーション — 共有プラットフォーム) |
| mazafakaerindahouse.info | ドロッパーステージング (以前の公開結果なし) |
翻訳元: https://gbhackers.com/maas-in-new-chainshell-attack/
