イランの地政学的ネクサス脅威アクターは、2021年XNUMX月に、名前のない中東政府機関に対する侵入の一部として、「単純な」バックドア機能を備えたXNUMXつの新しい標的型マルウェアを展開していることが明らかになりました。
サイバーセキュリティ会社のマンディアントは、攻撃を、モニカの下で追跡している分類されていないクラスターに起因すると考えました UNC3313、MuddyWater州が後援するグループに関連する「中程度の自信」で評価します。
「UNC3313は監視を実施し、イランの利益と意思決定をサポートするための戦略的情報を収集します」と、研究者のRyan Tomcik、Emiel Haeghebaert、およびTufailAhmedは述べています。 と。 「ターゲティングパターンと関連するルアーは、地政学的なつながりを持つターゲットに重点を置いていることを示しています。」
2022年XNUMX月中旬、米国の諜報機関 特徴付けられた MuddyWater(別名Static Kitten、Seedworm、TEMP.Zagros、またはMercury)は、少なくとも2018年から活動しており、さまざまなツールや手法を使用することが知られているイランの情報セキュリティ省(MOIS)の下位要素です。その操作で。
攻撃は、最初のアクセスを取得するためにスピアフィッシングメッセージを介して調整され、その後、横方向の移動と環境へのアクセスの維持のために公開されている攻撃的なセキュリティツールとリモートアクセスソフトウェアを利用したと言われています。
フィッシングメールは、ジョブプロモーションの誘惑で作成され、複数の被害者をだましてURLをクリックし、OneHubでホストされているRARアーカイブファイルをダウンロードしました。これにより、足がかりを得るための正当なリモートアクセスソフトウェアであるScreenConnectのインストールへの道が開かれました。
「UNC3313は、最初の侵害からXNUMX時間以内に、ScreenConnectを使用してシステムに侵入することにより、リモートアクセスを確立するために迅速に動きました」と研究者は指摘し、セキュリティインシデントは迅速に封じ込められ、修正されました。
攻撃の後続のフェーズでは、特権の昇格、対象ネットワークでの内部偵察の実行、難読化されたPowerShellコマンドの実行によるリモートシステムへの追加のツールとペイロードのダウンロードが行われました。
また、ハードコードされたコマンドアンドコントロール(C2)サーバーからHTTP経由でコマンドを受信したコマンドを実行するWindowsスクリプトファイル(.WSF)であるSTARWHALEと呼ばれる以前に文書化されていないバックドアも観察されました。
攻撃の過程で配信された別のインプラントはGRAMDOORです。これは、検出を回避するために攻撃者が制御するサーバーとのネットワーク通信にTelegram APIを使用していることから名付けられ、 コミュニケーションツール データの流出を促進するため。
調査結果はまた、 新しい共同アドバイザリー 英国と米国のサイバーセキュリティ機関から、世界中の防衛、地方自治体、石油、天然ガス、電気通信セクターを標的としたスパイ攻撃のMuddyWaterグループを非難しました。
