概要:進化するMuddyWaterの脅威
イラン系サイバースパイグループであるMuddyWater(別名:Mango Sandstorm、TA450)が、中東の重要インフラを狙った巧妙なキャンペーンを展開していることがESETの研究者によって明らかになりました。2024年9月から2025年3月にかけて行われたこのキャンペーンは、特にイスラエルの組織に焦点を当て、エジプトでも1件の被害が確認されています。過去の「ノイジーで検出されやすい」オペレーションとは一線を画し、この最新のキャンペーンは技術的な洗練度と運用規律の著しい向上を示しています。
新たなカスタムマルウェア「Fooder」と「MuddyViper」
今回のキャンペーンの中心は、防御回避と永続化能力を大幅に強化する目的で設計された、これまで文書化されていなかったカスタムツールです。
- Fooderローダー:64ビットのC/C++ツールで、グループにとって注目すべき技術的転換点となります。複数の「Fooder」の亜種は、古典的なスネークゲームを模倣することで回避技術として機能します。自動マルウェア分析システムを妨害するため、カスタム遅延機能と頻繁なSleep API呼び出しを組み合わせており、検出を回避するために実行速度を意図的に遅らせます。Fooderの主な機能は、MuddyViperバックドアをディスクに書き込まずにメモリにリフレクティブにロードすることで、極めてステルス性の高い展開メカニズムを実現します。
- MuddyViperバックドア:新たに特定されたC/C++バックドアで、システム偵察、認証情報収集、ファイル操作、シェルコマンド実行など、包括的なコマンド&コントロール機能を提供します。このバックドアは、リバースシェル操作、ブラウザデータ窃取、ユーザーを欺いて機密情報を漏らさせるための偽の認証情報プロンプトなど、20種類の異なるコマンドをサポートしています。
特筆すべき技術的進歩は、Microsoftの次世代暗号化APIであるCNG(Cryptography Next Generation)の採用です。これは、イラン系グループがこの最新の暗号化標準を利用した最初の文書化された事例であり、従来の公開されているツール利用から、運用セキュリティが大幅に向上しています。
認証情報窃取ツールと運用規律の向上
キャンペーンでは、ブラウザデータとWindows認証情報の収集を目的としたCE-NotesおよびLP-Notesを含む認証情報窃取ツールも活用されました。CE-Notesは、Chromeバージョン127で導入されたアプリ結合型暗号化を特に標的としており、グループが現代のブラウザセキュリティメカニズムを認識していることを示しています。これらのツールは、過去に検出されやすかった「ハンズオンキーボード」によるインタラクティブなセッションを意図的に避けており、運用規律の強化が示唆されています。
運用上の影響とLyceumとの連携
被害対象は多岐にわたる重要セクターに及び、イスラエルの組織が中心でした。これにはエンジニアリング企業、地方政府機関、製造業、公益事業、大学、交通インフラなどが含まれます。この単一国家の重要インフラへの集中的な標的設定は、イランの利益と一致する戦略的な地政学的目標を示唆しています。
ESETの研究者は、2025年1月と2月にMuddyWaterとLyceum(OilRigのサブグループ)との前例のない運用上の重複を確認しました。MuddyWaterは、Syncroリモート監視・管理ソフトウェアへのリンクを含むスピアフィッシングメールを通じて初期アクセスを実施しました。侵入後、オペレーターは追加のRMMツールとカスタムMimikatzローダーを展開し、Lyceumオペレーターにアクセスを移譲しました。この協力は、MuddyWaterが他のイラン系脅威アクターの初期アクセスブローカーとして機能し始めている可能性があり、グループの運用モデルを根本的に変化させていることを示唆しています。
残る課題と防御策
これらの進歩にもかかわらず、運用上の未熟な特性も残っています。MuddyViperは非常に詳細なステータスメッセージを生成し、150以上のセキュリティツールプロセス名のハードコードされたリストを保持しているため、大量のネットワークトラフィックが発生し、検出を容易にする可能性があります。グループが予測可能なスピアフィッシング戦術と公開されているRMMツールに依存し続けていることは、技術的進歩が従来の攻撃ベクトルを排除したわけではないことを示しています。
ESETは、MuddyWaterがイラン関連スパイ活動の主要アクターであり続け、漸進的に高度な技術によって強化された典型的なキャンペーンパターンが続くと評価しています。政府、通信、重要インフラセクターの組織は、RMMソフトウェアリンクを含むスピアフィッシングメールの監視を優先し、リフレクティブローディング技術と認証情報窃取活動に対する堅牢な検出を実装すべきです。