サイバーセキュリティ研究者らは、イラン系脅威グループMuddyWaterをロシア運営のマルウェア・アズ・ア・サービス(MaaS)プラットフォームに結びつける新たな証拠を発見しました。この新しいキャンペーンはChainShellと呼ばれています。
この発見は、国家支援の行動者が商業的に開発されたサイバー犯罪ツールに依存して能力を強化するという増加傾向を強調しています。
分析によると、調査官らはMuddyWaterインフラストラクチャと、TAG-150として知られるロシア語を話す脅威グループによって運営されるCastleRAT MaaSエコシステムの間に直接的な運用上の接続を特定しました。
このリンクは、コマンド・アンド・コントロール(C2)サーバ、マルウェアサンプル、および共有キャンペーン識別子を含む複数の技術的なアーティファクトを通じて確立されました。
最も重大な発見の1つは、MuddyWaterに関連する侵害されたサーバ上で発見されたreset.PS1という名前のPowerShellスクリプトでした。
このスクリプトは、ブロックチェーン技術を使用してC2インフラストラクチャを動的に取得するChainShellと呼ばれる、以前に文書化されていないJavaScriptベースのマルウェアをデプロイします。このマルウェアのC2インフラストラクチャは動的に取得されます。
研究者らはまた、MuddyWaterがステガノグラフィー画像ファイル内に隠された複数のCastleRATビルドを使用したことを観察しました。
これらのペイロードにはMaaSプラットフォームに紐付けされた一意の識別子が含まれており、このグループがマルウェアの開発者ではなく顧客である可能性が高いことが確認されました。
このキャンペーンはMuddyWaterの操作における戦略的シフトを示しています。歴史的に、このグループはカスタムPowerShellツールと正当なリモート管理ソフトウェアに依存していました。
しかし、MaaSプラットフォームを採用することで、隠れた仮想ネットワークコンピューティング(HVNC)、認証情報の盗取、および弾力的なコマンド・アンド・コントロールメカニズムなどの高度な機能にアクセスできるようになりました。
ChainShell自体は新しいレベルのステルスを導入しています。従来のサーバに依存する代わりに、ブロックチェーンスマートコントラクトを使用してC2エンドポイントを特定し、テイクダウンを大幅に困難にしています。
さらに、マルウェアは「シンシェル」として動作し、組み込まれた悪意のある機能を含むのではなく、リモートで配信されたコマンドを実行します。
このキャンペーンは主にイスラエルのインフラストラクチャ、政府、防衛、および技術セクターを標的としています。
公開されたサーバからの証拠には、ペルシア語のコメントとイスラエルのIP範囲のリストが含まれており、イラン系オペレーターへの帰属を強化しています。
別の重要な発見は、攻撃チェーン全体で使用されたコード署名証明書を含みます。
これらの証明書は、以前に既知のMuddyWaterツールに関連付けられており、MaaSプラットフォームに関連するマルウェアコンポーネントに署名するためにも使用されました。
この重複は、キャンペーンをグループに結びつける強力な帰属証拠を提供します。
セキュリティの専門家は、国家支援スパイ活動とサイバー犯罪サービスの混合が検出と帰属を複雑にすることを警告しています。
この研究は、国家アクターがますます既製のツールを採用して操作を加速させるサイバー脅威のより広い進化を強調しています。
防御者にとって、これは地政学的意図をスケーラブルな商用マルウェア機能と組み合わせた、より洗練された攻撃に直面することを意味しています。
翻訳元: https://cyberpress.org/muddywater-adopts-russian-maas/