イラン戦争を背景にTA453、TA473のフィッシング攻撃が活発化
イラン戦争に関するニュースを背景に、TA453、TA473、および他の脅威クラスターが、中東を含む世界中の政府や政策組織を標的とした高度にターゲットを絞ったフィッシング攻撃を展開しています。
これらの攻撃は、従来のスパイ活動と機会主義的な資格情報窃取、マルウェア配布を組み合わせており、政府のアカウントや信頼できるクラウドサービスを悪用して成功率を高めています。
背景と展開
2月28日の米国とイスラエルによるイランの指導者やミサイル、防空システムなどの軍事インフラに対する攻撃(Operation Epic Fury)に続いて、イランは米国の大使館や基地に対するミサイルやドローン攻撃を実施しました。この戦争が2週間目に入り、イランのハッカー集団が攻撃を主導していると主張しています。
TA453の攻撃
3月8日、TA453(Charming Kitten、Mint Sandstorm、APT42)は、米国のシンクタンクを標的としたフィッシング攻撃を試みました。これは、危機の中でも長期的な情報収集の優先順位が変わらないことを示しています。
UNK_InnerAmbushの攻撃
3月初旬、中国関連のUNK_InnerAmbushは、中東の政府や外交機関を標的としたメール攻撃を実施しました。これらのメールは、イランの最高指導者アヤトッラー・ハメネイの死に関する機密写真を共有するという偽りの情報を含んでいました。
TA402の攻撃
TA402(Frankenstein、Cruel Jackal)は、イラク外務省のアカウントと攻撃者制御のGmailアカウントを使用して、中東の政府機関を標的としたメール攻撃を実施しました。これらのメールは、米国の地上部隊の侵攻や新設の湾岸軍事同盟に関する情報を含んでいました。
UNK_NightOwlの攻撃
UNK_NightOwlは、シリア緊急事態省のメールアドレスと偽の「War Analyse Ltd」Outlookアカウントを使用して、中東の政府機関を標的とした資格情報窃取攻撃を実施しました。
TA473の攻撃
3月3日から5日まで、ベラルーシ関連のTA473(Winter Vivern)は、欧州と中東の政府機関を標的としたメール攻撃を実施しました。これらのメールは、欧州理事会議長のスポークスパーソンを装って送信されました。
攻撃の特徴
これらの攻撃は、イラン戦争の最新情報を高信頼性の前提として武器化しており、政府のアカウント、消費者フリーメール、信頼できるクラウドプラットフォームを悪用して防御を迂回しています。
結論
これらの攻撃は、社会工学の罠と同時に、中東政府や外交チャネルに対する情報収集の優先順位を更新するドライバーとなっています。一部の攻撃者は、危機を利用して通常のスパイ活動をカバーしている一方で、他の攻撃者は中東政府や外交チャネルに対する情報収集に広範な転換を示しています。