概要
イランの国家支援型ハッカー集団「MuddyWater」(別名:Static Kitten、Mercury、Seedworm)が、100を超える政府機関を標的とした攻撃で、「Phoenix」バックドアのバージョン4を展開しました。この脅威アクターは通常、中東地域の政府機関や民間組織を狙っています。
サイバーセキュリティ企業Group-IBの報告によると、攻撃は8月19日にNordVPNサービスを通じてアクセスされた侵害済みアカウントからのフィッシングキャンペーンとして開始されました。中東および北アフリカ地域の多数の政府機関や国際機関が標的となりました。研究者によると、脅威アクターは8月24日にサーバーとサーバーサイドのコマンド&コントロール(C2)コンポーネントを停止しており、これは侵害されたシステムから情報を収集するために他のツールやマルウェアに依存する攻撃の新たな段階を示唆している可能性があります。
このMuddyWaterキャンペーンの標的のほとんどは、大使館、外交使節団、外務省、領事館でした。
攻撃の詳細
Group-IBの調査により、MuddyWaterは悪意のあるWord文書を添付した電子メールを使用していたことが明らかになりました。これらの文書には、受信者に対しMicrosoft Officeで「コンテンツを有効にする」よう指示するマクロコードが含まれていました。この操作によりVBAマクロがトリガーされ、「FakeUpdate」マルウェアローダーがディスクに書き込まれます。
数年前にはマクロが自動的に実行されていたため、この手法は一般的でしたが、Microsoftがマクロをデフォルトで無効にして以来、脅威アクターは他の方法に移行していました。MuddyWaterも過去のキャンペーンで「ClickFix」などのより新しい手法を使用していましたが、今回はマクロコードを介してマルウェアを配信した理由は不明です。
MuddyWaterの最近の攻撃におけるローダーは、埋め込まれたAES暗号化ペイロードであるPhoenixバックドアを復号します。このマルウェアは「C:\ProgramData\sysprocupdate.exe」に書き込まれ、Windowsレジストリエントリを変更することで永続性を確立します。これにより、システムログイン後に実行されるアプリが設定されます。
「Phoenix」バックドアの機能
Phoenixバックドアは過去のMuddyWater攻撃でも確認されており、今回のキャンペーンで使用されたバージョン4には、追加のCOMベースの永続化メカニズムといくつかの機能的な違いが含まれています。このマルウェアは、被害者のプロファイリングのために、コンピューター名、ドメイン、Windowsバージョン、ユーザー名などのシステム情報を収集します。
Phoenix v4はWinHTTPを介してC2に接続し、ビーコンを開始してコマンドをポーリングします。Group-IBは、Phoenix v4で以下のコマンドがサポートされていることを確認しています:
- 65 — スリープ
- 68 — ファイルのアップロード
- 85 — ファイルのダウンロード
- 67 — シェルの開始
- 83 — スリープ間隔時間の更新
その他の悪用ツール
MuddyWaterがこれらの攻撃で使用したもう1つのツールは、Chrome、Opera、Brave、Edgeブラウザからデータベースを抽出し、資格情報を取得してマスターキーを盗み出して復号化しようとするカスタムの情報窃取マルウェアです。MuddyWaterのC2インフラストラクチャでは、ソフトウェア展開および管理用のPDQユーティリティと、Action1 RMM(リモート監視および管理)ツールも発見されました。PDQはイランのハッカーに起因する攻撃で使用されたことがあります。
攻撃の帰属
Group-IBは、過去のキャンペーンで見られたマルウェアファミリーやマクロの使用、新しいマルウェアにおける以前のファミリーと同様の共通の文字列デコード技術、および特定の標的パターンに基づいて、この攻撃をMuddyWaterに高い確信度で帰属させています。