イランのハッカーが米国とアラブ首長国連邦の重要なインフラを標的とした攻撃で新たな「Tickler」マルウェアを放つ

懸念すべき事態として、イラン政府が支援するハッキング集団「ピーチ・サンドストーム」が、「 Tickler 」と呼ばれる新しい高度なマルウェアを展開していることが確認されている。APT33、エルフィン、ホルミウム、マグナリウム、リファインド・キトゥンなど、さまざまな名前でも追跡されているこの集団は、米国とアラブ首長国連邦（UAE）の重要インフラを標的としたサイバースパイ活動を強化している。

ピーチサンドストームの進化する脅威

執拗なサイバー攻撃で知られるピーチ サンドストームは、特に国家防衛と経済の安定に不可欠なセクターにおいて、世界の安全保障にとって悩みの種となっている。2023 年後半、マイクロソフトは、特に米国の防衛産業基盤の従業員を標的としたこのグループの活動の急増を特定した。このエスカレーションは、グループが新たに開発された Tickler バックドアをその活動に活用していることを示しており、大きな変化を示している。

Tickler の機能: 多段階のバックドア

Tickler は、普通のマルウェアではありません。多用途性を考慮して設計された、カスタムの多段階バックドアです。システムに侵入すると、Tickler によって攻撃者は悪意のあるペイロードをさらにダウンロードできるようになり、侵入したネットワークに対する制御が拡大します。このマルウェアの機能は多岐にわたり、システム情報を収集したり、任意のコマンドを実行したり、ファイルを削除したり、被害者のシステムと攻撃者のコマンド アンド コントロール (C&C) サーバー間のファイル転送を管理したりできます。

照準を定めたターゲット: 衛星、通信、その他

Peach Sandstorm の最新の攻撃の主なターゲットは、米国と UAE 両国の衛星通信システム、政府機関、石油・ガス会社など、現代のインフラの柱となっている組織です。これらの部門は、これらの国の日常業務に不可欠であるだけでなく、戦略的にも非常に重要なため、情報収集や潜在的な妨害の主なターゲットとなっています。

ソーシャルエンジニアリングとパスワードスプレー戦術

Peach Sandstorm は、Tickler マルウェアを展開するだけでなく、LinkedIn などのプラットフォームを介してソーシャル エンジニアリング手法を悪用し続けています。機密性の高い業界の専門家をターゲットにすることで、内部情報へのアクセスを狙っています。さらに、このグループはパスワード スプレー攻撃を実行していることが確認されています。これは、攻撃者が多くのアカウントで共通のパスワードを使用して不正アクセスを行う方法です。これらの攻撃は、特に米国とオーストラリアの防衛、宇宙、教育、政府部門の組織を狙っています。

コマンド アンド コントロールに Azure インフラストラクチャを活用する

巧妙な工夫を凝らして、Peach Sandstorm は C&C 操作に Azure インフラストラクチャ、具体的には攻撃者が管理する不正なサブスクリプションを使用しています。この戦術は、信頼できるインフラストラクチャを提供するだけでなく、正当なクラウド サービス内に隠されているため、攻撃者の活動を追跡して停止することがより困難になります。

サイバー脅威のより広い文脈

マイクロソフトによる Peach Sandstorm の活動に関するレポートの発表は、他の重要なサイバーセキュリティの暴露と同時期に行われました。同日、Google Cloud の Mandiant はイランの対諜報活動に関するレポートを公開し、米国政府はイランの国家支援を受けた攻撃者とランサムウェア グループの連携を強調する勧告を発表しました。このレポートの同期は、イランから発生するサイバー脅威のより広範で組織的な性質を強調しています。

重要インフラの保護：今後の方向性

Peach Sandstorm やその他の国家支援の脅威アクターが戦術を進化させ続けているため、組織、特に重要な分野の組織は、サイバーセキュリティ対策を強化することが重要です。これには、強力なパスワード ポリシーの実装、クラウド ベース サービスの監視の強化、ソーシャル エンジニアリングのリスクに関する従業員の教育が含まれます。

サイバー脅威との戦いはまだまだ終わっておらず、Tickler のような高度なツールが使用される中、警戒と積極的な防御戦略がこれまで以上に重要になっています。