イランのサイバースパイ、ランサムウェア集団を装ってスパイ活動
Rapid7の研究者によると、イランの情報機関と関連のあるサイバーユニットが、Chaosランサムウェアの偽装を利用し、スパイ活動を行っていることが判明しました。
攻撃者はMicrosoft Teamsのフィッシングメールや画面共有を使い、認証情報を詐取したり、AnyDeskなどのリモート管理ツールを導入したりしました。
彼らはDarkcompというバックドアマルウェアを設置し、盗んだデータはChaosランサムウェアのデータ漏洩サイトに掲載しましたが、身代金要求は行わず、データは虚偽のまま隠蔽されていました。
この偽装は、攻撃者の特定を困難にし、防御の注意を逸らすための戦術と考えられています。
米国のセキュリティ企業Rapid7の調査により、イランの諜報機関と関連するサイバー部隊が、ランサムウェアグループ「Chaos」を装って活動していたことが判明しました。これは、国家主導の諜報活動を隠蔽するための巧妙な偽装工作(偽旗作戦)であると見られています。
ランサムウェアを装った諜報活動の手口
攻撃者はまず、Microsoft Teamsを使ったフィッシングキャンペーンを展開し、標的を騙して画面共有を促しました。その後、被害者にローカルのテキストファイルに認証情報を入力させたり、多要素認証(MFA)の設定を変更させたりするなど、高度なソーシャルエンジニアリングを行っています。これにより、攻撃者は正規の認証情報を手に入れ、RDPなどを経由して内部に侵入しました。
偽装工作の痕跡と実際の目的
侵入後、攻撃者はDarkcompというバックドアマルウェアを導入し、内部ネットワークを横断(ラテラルムーブメント)して機密データを収集しました。さらに、組織のリーダー宛に、ランサムウェアグループ「Chaos」のデータ漏洩サイト(DLS)へのリンクを含むメールを送信しました。しかし、実際のランサムウェアの暗号化や身代金要求のプロセスは実行されていませんでした。
偽装の意図とリスクの増大
Rapid7の調査では、このグループが金銭目的ではなく、諜報活動の隠蔽や将来的な破壊的サイバー攻撃の準備(プレポジション)のためにランサムウェアを装ったと分析されています。ランサムウェアの痕跡を残すことで、防御側の注意を本命の諜報活動から逸らす効果があると考えられています。
結論
イランのサイバー部隊によるこの事例は、単なるサイバー攻撃ではなく、国家レベルの戦略的な情報収集活動であることを示しています。攻撃者がランサムウェアを偽装することで、攻撃の真の目的を隠蔽し、追跡を困難にしている点が特に注目されます。
原文の冒頭を表示(英語・3段落のみ)
REG AD
Security
Iran cybersnoops still LARPing as ransomware crooks in espionage ops
※ 著作権に配慮し、引用は冒頭3段落までです。続きは元記事をご覧ください。