SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2024 秋の陣

Security Online Day 2024 秋の陣

2024年9月25日(水)・26日(木)オンライン開催

EnterpriseZine Day Special

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

新エバンジェリスト養成講座
【ランサムウェア特化型】サイバー演習講座

講座一覧はコチラから

EnterpriseZineニュース

イラク政府を標的としたサイバー攻撃を発見、新たな亜種マルウェアも──チェック・ポイント・リサーチ

 チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下、CPR)は、イラク政府を標的としたサイバー攻撃を発見したと発表。これにより、国家と連携したサイバー脅威を浮き彫りにする、懸念すべき攻撃パターンが明らかになったという。

 Googleが運営する、ファイルやウェブサイトのマルウェア検査ツール「Virus Total」にアップロードされたファイルを調査した結果、攻撃で使用されたマルウェアが、イラン系グループによる他地域への攻撃で用いられたマルウェアと酷似していることが判明したとしている。

攻撃の概要

 調査の結果、感染したファイルには高度なマルウェアが含まれており、首相府や外務省といったイラクの組織を標的としていたことが判明。また、この攻撃はイラン情報安全保障省(MOIS)と関連のあるサイバーグループ「APT34」と関係していることも明らかになったとしている。このグループは、以前にもヨルダンやレバノンの政府に対して同様の戦術を用いているという。

 パキスタン側から入手した情報の分析結果も、これと関連するマルウェアファミリーの存在を示しており、中東地域におけるこれらの攻撃の背後には同じグループがいることが示唆されていると述べている。

マルウェア

 攻撃には、VeatyとSpearalという2つの新しいマルウェアファミリーが使用され、いずれも高度で検出を巧妙に回避する機能を備えているという。これらのマルウェアの系統は、以下のセットアップウィザードのような、良性のドキュメントを装った偽装ファイルを通じて拡散されたとのことだ。ユーザーがこれらのファイルを開くと、マルウェアがシステムにインストールされ、再起動後も存続できるよう自身をシステムに組み込むという。

イラク閣僚評議会事務局のロゴを使用したマルウェア“Spearal”を展開するために使用されたインストーラー
イラク閣僚評議会事務局のロゴを使用したマルウェア“Spearal”を展開するために使用されたインストーラー
Veatyマルウェア:回避機能を持つコミュニケーター

 Veatyマルウェアは、検出を回避するよう設計された通信戦略を採用している。同マルウェアは、C&C(コマンド&コントロール)メールサーバーとの接続を、以下のような方法で確立するとのことだ。

  • 認証情報なしでの接続
  • ハードコードされた認証情報の利用
  • 外部の認証情報を使用
  • 信頼できるネットワーク認証情報を活用

 Veatyは接続に成功するまで、これらのアプローチを一つずつ順番に試していくという。その手法の一つとして、C&Cのために特定のメールボックスを利用。また、電子メールのルールを巧妙に設定することで、その通信を整理し、同時に隠蔽するという。たとえば、今回は「Prime Minister’s Office(首相府)」という件名を含む電子メールを探し出すルールを設けていたとしている。現在進行中の活動を示す“Alive”メッセージと、命令を実行するための“Command”メッセージがあり、これらのメッセージは検知されるリスクを最小限に抑えるため、慎重にフォーマットされ、暗号化されているとのことだ。

 類似する別の攻撃では、Karkoffと呼ばれるマルウェアが、レバノンの政府機関に属する侵害された電子メールアドレスを使って通信を行っていたという。これは、侵害されたイラク政府機関のメールアカウントを使用していたVeatyとよく似ているという。

Spearalマルウェア:戦術的な補完

 今回の攻撃で使用されたSpearalマルウェアは、イラン情報安全保障省(MOIS)と関連するマルウェアファミリー(Saitamaマルウェアなど)と多くの手口を共有しており、コマンド通信にDNSトンネリングを使用するなど、注目すべき類似点が複数あるとしている。

 これらのマルウェアファミリーは、DNSトンネリングを利用してコマンドを送信するため、従来の検知メカニズムを回避することが可能。この手法は、ヨルダン政府機関に対する攻撃でも確認されており、攻撃グループの地域的な焦点と攻撃方法における一貫したパターンを示しているという。

バックドアマルウェアSpearalの感染経路
バックドアマルウェアSpearalの感染経路
新たな脅威:CacheHttp.dll

 今回の調査で、新たな亜種マルウェアであるCacheHttp.dllも発見されたという。同調査は、このCacheHttp.dllも、イラク国内の同じ組織をターゲットにしていると推測している。このマルウェアは過去にあった脅威を進化させたもので、特定のウェブサーバーの活動を監視し、それに対応するように設計されているとのことだ。

 CacheHttp.dllは特定のヘッダーについてのウェブリクエストを検査し、事前に定義されたパラメーターに基づいてコマンドを実行するという。

【関連記事】
チェック・ポイント、生成AIセキュリティの新機能を発表 AIの安全な導入、データ損失防止が可能に
LockBit3の衰退後、ランサムウェアグループRansomHubが活発に──チェック・ポイント調査
チェック・ポイント、フィッシング攻撃に対抗する新AIエンジン発表 既存ブランドのなりすまし検知精度向上

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/20437 2024/09/25 15:50

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    三井不動産 宇都宮幹子×テックタッチ 井無田仲──2030年までに社員の25%をDXビジネス人材に NEW
  2. 2
    トヨタがインシデント対応時間を60%削減できたワケ:CCoEによる“自走できる”管理体制構築法とは NEW
  3. 3
    セールスフォース、Agentforce発表 Einstein Copilotが自律AIエージェントに
  4. 4
    サイバーインシデント後のOktaが90日間セキュリティに全集中した成果とは? NEW
  5. 5
    富士通の経理財務リーダーが語る4,000以上のシステムの最適化と「OneERP+」の実践
  6. 6
    S/4HANA移行で頓挫したイトーキ、「高度ERP化」を掲げてOracleで刷新中 その狙いと工夫は
  7. 7
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  8. 8
    自治体での生成AI活用の実態とは?──札幌市/志摩市/宮崎市の担当者が“手応え”を明かす
  9. 9
    VMware買収による混乱はNutanixの好機となるか:パートナーとの連携強化で受け皿需要に応える
  10. 10
    「オブザーバビリティはオプションでなく必須」日本を重要市場とみるDynatrace“3つのAI”戦略
  1. 1
    なぜOsaka MetroはECCからS/4HANAへの移行でアドオン80%減に成功できたのか?
  2. 2
    SAPによる買収で揺れるWalkMe、CEOに訊いた「DAP」への影響とは
  3. 3
    【JR西日本×メルカリ】歴史・業種・文化の異なる2社のデータ活用キーマンが対談!自社の課題を語り合う
  4. 4
    S/4HANA移行で頓挫したイトーキ、「高度ERP化」を掲げてOracleで刷新中 その狙いと工夫は
  5. 5
    LIXIL、894もの“巨大レガシーシステム”刷新に再挑戦 成功へのカギを握る「400の統合テスト」
  6. 6
    「レガシーしか扱えない企業に未来はない」 “わかってくれない経営層”を変える情シスに必要な5つの要素
  7. 7
    LINEヤフー、星野リゾート、JR東日本による生成AIの最新事例 Vertex AIの活用を明かす
  8. 8
    今、国産生成AIビジネスが熱い!4つの「日本型AIソリューション」から見えてきた可能性
  9. 9
    “組織のハズレ値”が注目するDataikuによるAI革命──三菱電機とJ&Jのリーダーが展望を語る
  10. 10
    ガリガリ君の赤城乳業の挑戦、ECCからパブクラ版S/4HANAへの移行を決めた理由とは?

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    三井不動産 宇都宮幹子×テックタッチ 井無田仲──2030年までに社員の25%をDXビジネス人材に NEW
  2. 2
    トヨタがインシデント対応時間を60%削減できたワケ:CCoEによる“自走できる”管理体制構築法とは NEW
  3. 3
    セールスフォース、Agentforce発表 Einstein Copilotが自律AIエージェントに
  4. 4
    サイバーインシデント後のOktaが90日間セキュリティに全集中した成果とは? NEW
  5. 5
    富士通の経理財務リーダーが語る4,000以上のシステムの最適化と「OneERP+」の実践
  6. 6
    S/4HANA移行で頓挫したイトーキ、「高度ERP化」を掲げてOracleで刷新中 その狙いと工夫は
  7. 7
    ソニーグループの生成AI活用が本格化──内製「Enterprise LLM」とベクトルDBによる独自の環境構築
  8. 8
    自治体での生成AI活用の実態とは?──札幌市/志摩市/宮崎市の担当者が“手応え”を明かす
  9. 9
    VMware買収による混乱はNutanixの好機となるか:パートナーとの連携強化で受け皿需要に応える
  10. 10
    「オブザーバビリティはオプションでなく必須」日本を重要市場とみるDynatrace“3つのAI”戦略
  1. 1
    なぜOsaka MetroはECCからS/4HANAへの移行でアドオン80%減に成功できたのか?
  2. 2
    SAPによる買収で揺れるWalkMe、CEOに訊いた「DAP」への影響とは
  3. 3
    【JR西日本×メルカリ】歴史・業種・文化の異なる2社のデータ活用キーマンが対談!自社の課題を語り合う
  4. 4
    S/4HANA移行で頓挫したイトーキ、「高度ERP化」を掲げてOracleで刷新中 その狙いと工夫は
  5. 5
    LIXIL、894もの“巨大レガシーシステム”刷新に再挑戦 成功へのカギを握る「400の統合テスト」
  6. 6
    「レガシーしか扱えない企業に未来はない」 “わかってくれない経営層”を変える情シスに必要な5つの要素
  7. 7
    LINEヤフー、星野リゾート、JR東日本による生成AIの最新事例 Vertex AIの活用を明かす
  8. 8
    今、国産生成AIビジネスが熱い!4つの「日本型AIソリューション」から見えてきた可能性
  9. 9
    “組織のハズレ値”が注目するDataikuによるAI革命──三菱電機とJ&Jのリーダーが展望を語る
  10. 10
    ガリガリ君の赤城乳業の挑戦、ECCからパブクラ版S/4HANAへの移行を決めた理由とは?