概要
イラン関連のAPT(Advanced Persistent Threat)グループ「Dust Specter」が、イラクの政府関係者を標的とした攻撃で、AI(人工知能)を活用したカスタム.NETマルウェアを展開していることが明らかになりました。この攻撃では、DLLサイドローディングとインメモリPowerShell、ClickFixスタイルの罠を組み合わせた二重攻撃チェーンが使用されています。
攻撃の詳細
Zscaler ThreatLabzは、2026年1月にイラクの政府関係者を標的とした新しいキャンペーンを追跡しました。このキャンペーンでは、攻撃者がイラクの外務省を装って、侵害された政府インフラストラクチャを利用してペイロードをホストしています。
新規ドロッパーとツール
ThreatLabzは、4つの以前に文書化されていない.NETコンポーネントを特定しました:SPLITDROP、TWINTASK、TWINTALK、GHOSTFORM。これらのツールは、2つの関連する攻撃チェーンで使用されています。
攻撃チェーンの詳細
攻撃の最初のチェーンは、パスワード保護されたRARアーカイブ「mofa-Network-code.rar」で始まります。このアーカイブは、外務省から来たコンテンツを装っています。アーカイブ内には、32ビット.NETバイナリが含まれており、これはWinRARを装ってSPLITDROPドロッパーとして機能します。
このドロッパーは、ユーザーにパスワードを入力させ、AES-256で暗号化されたリソースを解読し、C:\ProgramData\PolGuid.zipに展開します。
アーカイブは、VLC.exeを含むPolGuidディレクトリに展開され、DLLサイドローディングを介してTWINTASKワーカーモジュールに読み込まれます。
TWINTASKは、悪意のあるlibvlc.dllを介して読み込まれ、C:\ProgramData\PolGuid\in.txtを15秒ごとにポーリングし、base64でデコードされたコマンドを実行します。
これらのコマンドは、VLC.exeとバンドルされたWingetUI.exeの実行キーを登録することで、持続性を確立します。
GHOSTFORMの利用
攻撃の第二のチェーンでは、GHOSTFORMが使用されます。これは、SPLITDROP、TWINTASK、TWINTALKの機能を統合した単一の.NET RATで、ステルスとソーシャルエンジニアリングに重点を置いています。
GHOSTFORMは、偽のアラビア語の調査を装ったGoogleフォームURLをハードコードする場合があります。
インフラストラクチャの再利用
インフラストラクチャの再利用とソーシャルエンジニアリングのスタイルは、2025年7月のWebex操作とDust Specterの2026年のイラク向けキャンペーンの関連性を強化しています。
AIの活用
この攻撃は、攻撃者がAIを活用したマルウェア開発を試みていることを示しています。これは、イランのAPTがツールと手法にAIを統合しているという広範な報告と一致しています。
インジケーター・オブ・コムプロマイズ(IOC)
- C2ドメイン:lecturegenieltd[.]pro
- C2ドメイン:meetingapp[.]site
- C2ドメイン:afterworld[.]store
- C2ドメイン:girlsbags[.]shop
- C2ドメイン:onlinepettools[.]shop
- C2ドメイン:web14[.]info
- C2ドメイン:web27[.]info
- URL:hxxps://ca[.]iq/packages/mofaSurvey_20_30_oct.zip
結論
この攻撃は、APTグループがAIを活用して高度な攻撃を展開していることを示しています。組織は、このような脅威に対処するための適切なセキュリティ対策を講じる必要があります。