イランの APT が使用した Menorah マルウェア
OilRig として知られるイランの支援を受けたサイバー攻撃者が、Menorah と呼ばれる新しいタイプのマルウェアで被害者を感染させるスピア フィッシング キャンペーンに関与していることが明らかになりました。セキュリティ研究者らの報告書によると、このマルウェアはサイバースパイ活動を目的として設計されており、対象マシン上のファイルを識別して読み取る機能や、ファイルのアップロードとダウンロードを行う機能を備えています。これらの攻撃の正確な標的はまだ不明ですが、おとりが使用されていることから、少なくとも 1 つはサウジアラビアにある組織であることが示唆されています。
APT34、Cobalt Gypsy、Hazel Sandstorm、Helix Kitten としても知られる OilRig は、標的となったネットワークに侵入してアクセスを維持するための秘密情報収集活動の実施を専門とするイランの高度持続的脅威 (APT) グループです。 NSFOCUS による最近の調査結果では、SideTwist マルウェアの新しい亜種の展開につながった OilRig フィッシング攻撃が明らかになり、開発作業が進行中であることがわかりました。
研究者によって文書化された最新の感染チェーンでは、永続化のためにスケジュールされたタスクを作成し、実行可能ファイル (「Menorah.exe」) をドロップするためにルアー ドキュメントが使用されています。この実行可能ファイルはリモート サーバーとの接続を確立し、さらなる指示を待ちますが、コマンド アンド コントロール サーバーは現在非アクティブです。この .NET マルウェアは、2021 年に Check Point によって発見されたオリジナルの C ベースの SideTwist インプラントの拡張バージョンです。ホストのフィンガープリント、ファイルのリスト、侵害されたシステムからのファイルのアップロード、シェル コマンドの実行、および感染したシステムにファイルがダウンロードされます。
OilRig APT とは誰ですか?
OilRig Advanced Persistent Threat (APT) は、イラン政府の支援を受けていると考えられているサイバースパイグループです。 APT34、Cobalt Gypsy、Hazel Sandstorm、Helix Kitten など、さまざまな名前でも知られる OilRig は、少なくとも 2014 年から活動しています。OilRig APT に関連する主な特徴とアクティビティをいくつか紹介します。
- イランの帰属: OilRig はイランに拠点を置く国家支援のハッキング グループであると広く考えられています。イラン政府はその関与を正式に認めていないが、サイバーセキュリティの専門家や研究者らは、さまざまな技術的および文脈上の指標に基づいて、このグループをイランと関連付けている。
- サイバースパイ活動: OilRig は主にサイバースパイ活動に重点を置いています。彼らの主な目的は、政府機関、企業、重要インフラ部門などの標的組織からインテリジェンスと機密情報を収集することです。
- スピア フィッシング: OilRig は、スピア フィッシング キャンペーンを使用することで知られています。彼らは、説得力のある標的を絞ったフィッシングメールを作成し、組織内の個人をだまして悪意のある添付ファイルを開いたり、悪意のあるリンクをクリックさせたりします。被害者が侵害されると、そのグループはターゲット ネットワーク内に足場を築きます。
- カスタム マルウェア: OilRig は、特定のターゲットに合わせたカスタム マルウェアを開発して使用します。このマルウェアにはさまざまなリモート アクセス ツールとバックドアが含まれており、これにより、グループは侵害されたシステムの永続性と制御を維持できます。
- 対象となる業界: OilRig は、エネルギー、電気通信、政府、金融機関など、さまざまな分野に関心を示しています。彼らのターゲットの選択は、重要なインフラと貴重な知的財産に焦点を当てていることを示唆しています。