Oasis Security研究者は、中東の重要インフラに対する標的型攻撃に先立ち、インターネットに露出した12,000以上のシステムをスキャンした、高度に調整されたサイバーキャンペーンを発見しました。
2月初旬から活動しているこの作戦は、MuddyWater脅威グループに以前に関連付けられた戦術に類似した、構造化された偵察から流出までのワークフローの一部のようです。
このキャンペーンは、広範なインターネット全体のスキャンから始まり、認証情報の収集に移行し、標的型の流出で終了した、構造化されたマルチステージのシーケンスに従いました。
Oasis研究者は、脅威アクターが選別的に偵察段階で特定された高価値ターゲットを悪用し、重要な計画とリソース配分を実証していることを発見しました。
5つの新たに開示されたCVEは、攻撃者の初期スキャン活動の中心でした。
攻撃者が管理するインフラの分析により、モジュール式でマルチプロトコルC2エコシステムが明らかになりました。
オランダでホストされているサーバー(IP: 157.20.182.49)は、スキャン、認証情報の収集、データステージングを含む様々な運用タスクを調整していました。
調査官は、複数のコントローラー全体で一貫した<BIIH>ヘッダー構造を指摘し、これらのコンポーネントが共有ツールキットに由来することを示唆しています。
複数のコントローラーは、以前MuddyWater作戦に帰属されたArenaC2フレームワークと一致する運用パターンを共有していました。
このハイブリッドC2モデルにより、侵害されたシステムの柔軟な管理と複数のプロトコル全体での暗号化通信が可能になり、攻撃者が以前の中東スパイ活動キャンペーンで使用された実戦で実証されたモジュール式インフラストラクチャに依存していたという理論を強化しました。
キャンペーンの最終段階には、構造化されたデータステージングと流出が含まれていました。Oasis研究者は、パスポートと給与記録を含む約200ファイルがエジプトの航空企業から抽出されたことを確認しました。
攻撃者のサーバーのディレクトリ構造は、会社名とデータタイプによる明確な組織を明らかにし、自動化されたデータ収集パイプラインを示唆しています。
活動パターンは地域に焦点を当てた作戦を示しており、以下で主要なターゲティングが観察されました。
ポルトガルとインドで追加の偵察の跡が検出されましたが、これはメインの目的というより、より広い発見活動の一部である可能性が高いです。
キャンペーンのタイムラインが中東の地政学的緊張の増加と一致していることは、技術的活動とより広い地域情報目標との間の可能な関連性を示唆しています。
C2メカニズムと通信構造の再利用を含む、MuddyWaterの伝統的な方法を想起させる特性により、この作戦は同地域における永続的な国家指向の偵察行動の進化を強調しています。
12,000以上のシステムにまたがるスキャン活動の規模と精度は、継続的な監視能力と機会的悪用というより意図的な高価値ターゲティングを示しています。
翻訳元: https://cyberpress.org/12000-systems-scanned-ahead/