イランのハッカー、航空宇宙・防衛攻撃にDEEPROOTとTWOSTROKEマルウェアを使用

イランのサイバー諜報グループは、TWOSTROKEやDEEPROOTなどの高度なマルウェアを用いて中東の航空宇宙、航空、防衛分野への攻撃を強化しています。これらの作戦は、Google傘下のサイバーセキュリティ企業Mandiantが特定した脅威クラスターUNC1549（別名Nimbus ManticoreまたはSubtle Snail）に関連しています。UNC1549の活動は2023年末から2025年まで続くと予想され、複雑な手法で標的ネットワークに侵入しています。彼らは第三者の関係を悪用し、サービスプロバイダーから実際の標的へアクセスし、仮想デスクトップインフラ（VDI）からの脱出でネットワーク内を横移動します。求人詐称のスピアフィッシングも初期アクセス獲得の重要な手法です。\n\nこのグループの攻撃戦略は特に巧妙で、主要な防御が強固な標的を直接攻撃するのではなく、第三者のサプライヤーやパートナーの弱点を利用します。Citrix、VMWare、Azure Virtual Desktopなどのサービスに関連する認証情報を乗っ取り、仮想セッションから脱出してシステム全体へのアクセスを確立します。ITスタッフや管理者を標的にして権限の高い認証情報を収集し、ネットワークへの深い侵入を可能にします。内部に入ると、UNC1549は偵察、認証情報窃取、横移動、防御回避などの広範な後利用活動を行い、貴重なネットワーク文書、知的財産、メールを抽出します。\n\nUNC1549は攻撃に多様なカスタムツールを使用します。MINIBIKE（別名SlugResin）はシステム情報収集、Outlook認証情報窃取、キーストローク記録、スクリーンショット取得が可能なC++バックドアです。TWOSTROKEもDLL読み込みやファイル操作機能を持つC++バックドアです。DEEPROOTはGolangベースのLinuxバックドアで、シェルコマンド実行やファイル操作をサポートします。LIGHTRAIL、GHOSTLINE、POLLBLENDなどのトンネリングユーティリティも使用し、指令・制御サーバーとの通信を秘匿します。認証情報抽出、権限昇格、スクリーンショット取得用のユーティリティも含まれます。\n\nマルウェア以外に、UNC1549はAD Explorerなどの公開ソフトウェアを使ってActive Directoryを照会し、Atelier Web Remote Commander（AWRC）やSCCMVNCなどのリモート管理ツールで偵察と制御を行います。レジストリキーからリモートデスクトッププロトコル（RDP）接続履歴を削除し、フォレンジック調査を妨害する意図的な措置も取っています。Mandiantはこのグループのステルス性と持続性を強調し、バックドアは数か月間休眠し、被害者が駆除を試みた後に再度アクセスを回復します。指令・制御インフラは正規の業界ドメインを模倣し、検出回避を図っています。\n\nこのキャンペーンは技術的な高度さだけでなく、サプライチェーンの弱点を悪用する点でも注目されます。これは国家支援の脅威アクターがますます狙う脆弱性です。この手法は、攻撃者が周辺の組織を狙い高価値標的に到達するサイバー諜報の増加傾向を反映しています。スイスのサイバーセキュリティ企業PRODAFTの最近の報告では、UNC1549が欧州の通信企業に対する攻撃にも関与していることが示されており、地理的範囲と標的の多様性が明らかです。これらの作戦が続く中、防衛・航空宇宙産業は自社ネットワークだけでなくサプライチェーン全体のセキュリティ強化が必要です。