概要:MuddyWaterの新たな攻撃キャンペーン
高度な持続的脅威(APT)グループであるMuddyWaterが、中東、北アフリカ、および世界中の国際機関を含む100以上の政府機関を標的とした洗練されたフィッシングキャンペーンを展開しました。Group-IB Threat Intelligenceは、このキャンペーンをイラン関連の脅威アクターに高い確度で帰属させており、グループの諜報能力と作戦の洗練度が憂慮すべきレベルにエスカレートしていることを示しています。
この攻撃では、NordVPNを介してアクセスされた侵害されたメールボックスが悪用され、Phoenixバックドアマルウェアのバージョン4と、高価値の政府標的から機密情報を窃取するために設計されたカスタムの認証情報窃取ツールが配布されました。このキャンペーンは、MuddyWaterの進化する手口と、地政学的に機密な地域における国家支援型サイバースパイ活動への継続的な注力を示しています。
攻撃の手口:フィッシングからバックドア展開まで
MuddyWaterは、フランスに位置するNordVPNの出口ノードを介してアクセスされた侵害されたアカウントから悪意のあるメールを送信することで作戦を開始しました。フィッシングメールには、受信者を騙してマクロを有効にさせるように設計されたMicrosoft Word添付ファイルが含まれていました。これらのファイルは、ドキュメントを表示するために「コンテンツを有効にする」よう指示するぼやけたコンテンツを表示していました。
マクロがアクティブ化されると、埋め込まれたVisual Basic for Applications(VBA)コードが実行され、多段階の感染チェーンがトリガーされました。初期のドロッパーであるFakeUpdateは、Advanced Encryption Standard(AES)暗号化を使用して埋め込まれた第2段階のペイロードを復号し、自身のプロセスメモリに注入しました。注入されたコンポーネントはPhoenixバックドアバージョン4であり、感染したシステム上で一連の偵察および永続化活動を実行しました。
Phoenixバックドアの機能と永続化
Phoenixバックドアは、自身をC:\ProgramData\sysprocupdate.exeにコピーし、WindowsレジストリキーHKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\WinlogonのShell値を変更することで永続性を確立し、システム再起動後もアクセスを維持しました。Phoenix v4は、感染したホストを攻撃者のコマンド&コントロール(C2)インフラストラクチャに登録し、リモートコマンドをポーリングするために継続的なビーコンを開始しました。
このバックドアは、コンピューター名、ドメイン、Windowsバージョン、ユーザー名などのシステム情報を収集し、このデータをMuddyWaterのサーバーに送信しました。マルウェアは、ファイルのアップロードおよびダウンロード機能、シェル実行、リモート監視機能を含む複数の運用コマンドをサポートしていました。
C2インフラストラクチャと認証情報窃取ツール
Group-IBは、MuddyWaterの運用セキュリティ慣行と攻撃期間を明らかにする重要なインフラストラクチャの詳細を発見しました。マルウェアサンプルには、NameCheapを通じて2025年8月17日に登録されたハードコードされたC2ドメイン、screenai[.]onlineが含まれていました。このドメインは、2025年8月19日から8月24日までのわずか5日間しか運用されておらず、慎重に計画された期間限定の攻撃キャンペーンを示しています。
実際のC2サーバーインフラストラクチャは、IPアドレス159.198.36.115でホストされており、カスタムのブラウザ認証情報窃取ツール、PDQ Remote Monitoring and Managementツール、Action1 RMMユーティリティを含む複数のポストエクスプロイトツールが公開されたディレクトリに含まれていました。電卓アプリケーションを装ったChromium_Stealerは、Google Chrome、Opera、Brave、Microsoft Edgeブラウザに保存されている認証情報を標的とし、OSの暗号化APIを使用してマスターキーを復号し、ログイン認証情報を収集します。
戦略的影響と今後の展望
Group-IBは、以前のMuddyWater作戦でのみ使用されたカスタムマルウェアファミリー、同一のハッシュ署名を持つマクロコード、および以前に脅威アクターに関連付けられたツールをホストするC2インフラストラクチャを含む複数の指標に基づいて、このキャンペーンをMuddyWaterに帰属させています。また、SSL証明書を通じて、サーバーの実際のIPがNameCheapの自律システム番号(ASN)に登録されている159[.]198[.]36[.]115であることが判明しました。
標的パターンは、MuddyWaterが歴史的に中東の政府機関や国際機関に焦点を当ててきたことと完全に一致しています。地政学的な緊張が続く中、MuddyWaterが政府機関を執拗に標的とすることは、長期的な戦略的諜報目標を浮き彫りにしています。セキュリティ研究者は、脅威アクターが新たに侵害されたアカウントと進化するペイロードを活用して、複数の大陸の高価値標的からアクセスを維持し、外国の諜報情報を収集し続けるため、同様のキャンペーンが今後も出現すると予想しています。