最近の脅威インテリジェンスにより、イランのMuddyWaterスパイグループと、ロシア開発のTAG-150 CastleRATプラットフォーム間の直接的な運用リンクが明らかになりました。
JUMPSECレポートによれば、これは大きな転換点であり、国家支援の攻撃者が積極的に商用サイバー犯罪マルウェア・アズ・ア・サービス(MaaS)エコシステムを使用しています。
調査員らは、イランの情報セキュリティ省(MOIS)と関連するグループであるMuddyWaterが、新たに発見されたChainShellという名前のマルウェアと並行して、少なくとも2つのCastleRATビルドを使用していることを発見しました。
MuddyWaterは歴史的に、カスタムバックドアと正当なリモート管理ツールに依存して、防衛、航空宇宙、およびエネルギー部門を標的にしており、主にイスラエルと西側に焦点を当ててきました。
しかし、ロシアのCastleRATプラットフォームを採用することで、イランのグループは内部開発なしに高度な機能へのアクセスを得ることができます。
国家スパイ活動と犯罪的MaaSのこの収束は、ネットワークディフェンダーにとって大きな課題を生み出しています。
マルウェアはロシア語の文字列を含み、旧ソビエト圏の国々でのシステム感染を意図的に回避しているため、セキュリティチームは当初、侵入を通常のロシアのサイバー犯罪者に誤認する可能性があります。
この誤分類は、国家レベルのスパイ活動キャンペーンに必要な適切なインシデント対応を遅延させる可能性があります。
研究者らは、MuddyWaterがこの共有プラットフォームの単なる顧客であり、LeakNetランサムウェアグループなどの他の脅威アクターと同じ基礎となる技術を使用していることを確認しました。
MuddyWaterとTAG-150プラットフォーム間の接続は、公開されたコマンドアンドコントロール(C2)サーバの発見によって確固たるものになりました。
この設定ミスのあるサーバーには、ペルシア語コードのコメント、イスラエルのターゲットIPリスト、およびreset.ps1という悪意のあるPowerShellスクリプトが含まれていました。
このスクリプトは「ChainShell」という以前は文書化されていないNode.jsエージェントをデプロイします。
さらなる技術的なJUMPSECの証拠は、共有コード署名証明書を通じてキャンペーン全体を結びつけています。
「Amy Cherne」という名前で発行された証明書は、既知のMuddyWaterツール(StageCompなど)とCastleRATペイロードのインストーラーの両方に署名するために使用されました。
この証明書チェーンは、「Smokest」という名前のような同じキャンペーン識別子と組み合わせて、同じオペレーターが両方のツールセットをデプロイしたことを証明しています。
さらに、攻撃者は基本的なセキュリティスキャンを回避するために、ステガノグラフィJPEG画像内にネイティブCastleRATペイロードを隠しました。
セキュリティベンダーによる公開の露出にもかかわらず、MuddyWaterはインストーラーを継続的に更新し、新しい悪意のあるルアーをデプロイし、高い運用テンポを維持しています。
翻訳元: https://cyberpress.org/iran-tied-to-castlerat/
