はじめに
Group-IBの脅威インテリジェンスチームは、イランに関連する高度な持続的脅威(APT)グループであるMuddyWaterが、国際機関を標的とした洗練されたフィッシングキャンペーンを展開していることを明らかにしました。このキャンペーンは、外国諜報活動を目的としており、脅威アクターの戦術の進化と運用成熟度の向上を示しています。
MuddyWaterは、正規のサービスであるNordVPNを悪用して侵害されたメールボックスにアクセスし、活動を隠蔽しました。この侵害されたアカウントを利用して、グループは信頼できる情報源からの正規の通信を装ったフィッシングメールを送信しました。これにより、受信者が悪意のある添付ファイルを開く可能性を大幅に高めています。
フィッシングメールには、ぼやけたコンテンツを表示するためにマクロの有効化を促すMicrosoft Word文書が含まれていました。マクロが有効化されると、悪意のあるVisual Basic for Application(VBA)コードが実行され、最終的に標的のシステムにPhoenixバックドアのバージョン4が展開されました。
攻撃の実行チェーン
Phoenixバックドアは、コマンド&コントロール(C2)インフラストラクチャとの継続的な通信を確立し、リモート制御、データ収集、およびさらなるポストエクスプロイト活動を可能にします。これにより、攻撃者は標的システムを完全に掌握することができます。
高い確信度での帰属
Group-IBは、調査および分析中に観察されたいくつかの指標に基づき、このキャンペーンを高い確信度でMuddyWaterに帰属させています。主な根拠は以下の通りです。
- 展開されたマルウェアファミリー(FakeUpdateインジェクターおよびPhoenixバックドア)は、過去にMuddyWaterの活動でのみ確認されているカスタムマルウェアです。
- 文書に埋め込まれた悪意のあるマクロは、過去のMuddyWaterキャンペーンで使用されたマクロと類似したロジックを共有しています。
- コマンド&コントロールサーバーは、他のMuddyWater関連マルウェアで観察されたものと同じ文字列デコード技術を使用するカスタムブラウザ認証情報窃取ツールをホストしています。
- 同じインフラストラクチャには、MuddyWaterがリモートアクセスと永続性のために以前使用していたPDQ RMMツールが含まれています。
- 標的パターンは、特に中東地域に焦点を当て、ヨーロッパ、アフリカ、北米に拡大しているMuddyWaterの過去の被害者像と一致しています。
標的の詳細
フィッシングメールの受信者を調査した結果、注目すべき標的パターンが明らかになりました。このキャンペーンには、政府機関の公式アカウントと、Yahoo、Gmail、Hotmailなどの個人メールアドレスの両方が含まれており、MuddyWaterが標的について詳細な知識を持っていることを示しています。
焦点は、国際協力および人道支援ミッションに従事する影響力のあるグローバル組織にまで及び、アクターのより広範な地政学的動機を浮き彫りにしています。Group-IBは、現在の作戦と技術的およびインフラストラクチャの重複がある追加の悪意のある文書を特定しており、関連または並行するキャンペーンが継続していることを示唆しています。ある文書は、進行中の地政学的緊張に対処する政府機関のセミナーを装い、別の文書は中東および北アフリカのエネルギー部門を標的としていました。
攻撃能力を強化する新ツール
インフラストラクチャ調査中に、Group-IBは攻撃者のコマンド&コントロールサーバーでカスタムツールとリモート監視管理ユーティリティを特定しました。これらには、電卓アプリケーションを装ったカスタムChromiumブラウザ認証情報窃取ツール、およびリモート管理とコマンド実行のためのAction1およびPDQ RMMユーティリティが含まれます。
認証情報窃取ツールは、ブラウザプロファイルディレクトリを列挙し、暗号化キーを抽出し、アクティブなブラウザプロセスを終了させ、Google Chrome、Opera、Brave、Microsoft Edgeから保存されたログイン認証情報を収集します。窃取された認証情報は、ユーザーの疑いを最小限に抑えるために、ブラウザが再起動される前にステージングファイルに書き込まれます。
今後の展望
MuddyWaterが進行中の地政学的緊張の中で政府機関を継続的に標的としていることを考えると、Group-IBは同様のキャンペーンが、新たに侵害されたアカウントと進化するペイロードを悪用して続くと予想しています。カスタムマルウェアファミリーの再利用と変更の一貫したパターンは、長期的な戦略的情報収集の目的を強調しています。