MuddyWater 型ハッカーが中東で 12,000+ システムを調査

MuddyWater に似た脅威グループが、中東の航空、エネルギー、政府機関などの重要な部門を標的とした大規模な偵察と侵入作戦を実施しました。

攻撃者は、機密データの盗難が確認された選別的な悪用の試みを開始する前に、12,000 以上のインターネット公開システムをスキャンしたと報告されています。

このインシデントは、大規模な脆弱性スキャンから始まり、確認されたデータ流出で終わる、構造化された多段階のワークフローに従いました。

Oasis Security によると、攻撃者は少なくとも 5 つの新しく開示された CVE を武器化し、Web アプリケーション、メールサーバー、ワークフロー自動化プラットフォーム全体で悪用可能なシステムを特定しました。

広範な偵察に続いて、グループは owa.py のようなカスタムスクリプトと Patator のようなマルチスレッドツールを使用して、Outlook Web Access (OWA) に対するブルートフォース攻撃を実行しました。

これらの認証情報ベースの侵入は、キャンペーンの第 2 段階で重要であることが判明し、アクターに侵害されたネットワークへの永続的なアクセスを与えました。

tcp_serv.py コントローラーはポート 5009 でリッスンし、侵害されたシステムからのインバウンド接続を受け入れます。一方、udp_3.0.py は同様の通信構造を持つ UDP ベースのコントローラーとして機能します。

対象には、エジプト、イスラエル、アラブ首長国連邦の組織が含まれており、複数の確認された認証情報とアカウントリストが攻撃者制御のサーバーから回収されました。

高度な C2 インフラストラクチャが明かされる

敵のインフラストラクチャの技術的分析により、オランダの IP アドレス 157.20.182.49 でホストされている精巧なコマンドアンドコントロール (C2) フレームワークが発見されました。

調査官は、Python で作成された複数のモジュール式 C2 コントローラーと Go の証拠を見つけ、TCP、HTTP、UDP チャネルを介した通信を処理しています。

主要なプロパティは以下のとおりです:

tcp_serv.py や udp_3.0.py などの一部の C2 コントローラーは、感染したシステムからのインバウンドトラフィックを受け入れましたが、ex-server のような Go ベースのバイナリは暗号化されたデータと運用タスクを管理しました。

これらの設計は MuddyWater の以前の手法、特に ArenaC2 フレームワークにリンクされたインフラストラクチャパターンと密接に一致しています。

脅威アクターは、さまざまなプラットフォーム全体で 5 つの主要な脆弱性を悪用しました:

初期スキャンは広範囲でしたが、その後の悪用は地域的焦点を示し、中東の航空およびエネルギー部門を優先しました。

Oasis の研究者は、エジプトの航空会社からのデータ盗難を確認しました。これには、パスポートとビザの記録、給与データ、クレジットカード情報、および合計約 200 ファイルの企業文書が含まれます。

調査官は、キャンペーンは 2 月初旬に開始されたことに注意しており、これは中東での緊張が高まる直前でした。

Oasis Security は、この作戦は脅威の状況の変化を例示していることを警告しており、自動偵察、認証情報盗難、横展開、および流出が継続的な戦略的パイプラインに統合されています。

厳密な運用構造、多段階ワークフロー、および共有された技術的指標は、イラン国家の利益に起因することが多い MuddyWater にリンクされたサイバー活動との潜在的なアライメントを示唆しています。

グループのリソース効率的な方法と C2 モジュール性は、重要な地域インフラを標的とした国家整列型サイバー戦術の洗練された進化を強調しています。