SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

イラク政府を標的としたサイバー攻撃を発見、新たな亜種マルウェアも──チェック・ポイント・リサーチ

 チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下、CPR)は、イラク政府を標的としたサイバー攻撃を発見したと発表。これにより、国家と連携したサイバー脅威を浮き彫りにする、懸念すべき攻撃パターンが明らかになったという。

 Googleが運営する、ファイルやウェブサイトのマルウェア検査ツール「Virus Total」にアップロードされたファイルを調査した結果、攻撃で使用されたマルウェアが、イラン系グループによる他地域への攻撃で用いられたマルウェアと酷似していることが判明したとしている。

攻撃の概要

 調査の結果、感染したファイルには高度なマルウェアが含まれており、首相府や外務省といったイラクの組織を標的としていたことが判明。また、この攻撃はイラン情報安全保障省(MOIS)と関連のあるサイバーグループ「APT34」と関係していることも明らかになったとしている。このグループは、以前にもヨルダンやレバノンの政府に対して同様の戦術を用いているという。

 パキスタン側から入手した情報の分析結果も、これと関連するマルウェアファミリーの存在を示しており、中東地域におけるこれらの攻撃の背後には同じグループがいることが示唆されていると述べている。

マルウェア

 攻撃には、VeatyとSpearalという2つの新しいマルウェアファミリーが使用され、いずれも高度で検出を巧妙に回避する機能を備えているという。これらのマルウェアの系統は、以下のセットアップウィザードのような、良性のドキュメントを装った偽装ファイルを通じて拡散されたとのことだ。ユーザーがこれらのファイルを開くと、マルウェアがシステムにインストールされ、再起動後も存続できるよう自身をシステムに組み込むという。

イラク閣僚評議会事務局のロゴを使用したマルウェア“Spearal”を展開するために使用されたインストーラー
イラク閣僚評議会事務局のロゴを使用したマルウェア“Spearal”を展開するために使用されたインストーラー
Veatyマルウェア:回避機能を持つコミュニケーター

 Veatyマルウェアは、検出を回避するよう設計された通信戦略を採用している。同マルウェアは、C&C(コマンド&コントロール)メールサーバーとの接続を、以下のような方法で確立するとのことだ。

  • 認証情報なしでの接続
  • ハードコードされた認証情報の利用
  • 外部の認証情報を使用
  • 信頼できるネットワーク認証情報を活用

 Veatyは接続に成功するまで、これらのアプローチを一つずつ順番に試していくという。その手法の一つとして、C&Cのために特定のメールボックスを利用。また、電子メールのルールを巧妙に設定することで、その通信を整理し、同時に隠蔽するという。たとえば、今回は「Prime Minister’s Office(首相府)」という件名を含む電子メールを探し出すルールを設けていたとしている。現在進行中の活動を示す“Alive”メッセージと、命令を実行するための“Command”メッセージがあり、これらのメッセージは検知されるリスクを最小限に抑えるため、慎重にフォーマットされ、暗号化されているとのことだ。

 類似する別の攻撃では、Karkoffと呼ばれるマルウェアが、レバノンの政府機関に属する侵害された電子メールアドレスを使って通信を行っていたという。これは、侵害されたイラク政府機関のメールアカウントを使用していたVeatyとよく似ているという。

Spearalマルウェア:戦術的な補完

 今回の攻撃で使用されたSpearalマルウェアは、イラン情報安全保障省(MOIS)と関連するマルウェアファミリー(Saitamaマルウェアなど)と多くの手口を共有しており、コマンド通信にDNSトンネリングを使用するなど、注目すべき類似点が複数あるとしている。

 これらのマルウェアファミリーは、DNSトンネリングを利用してコマンドを送信するため、従来の検知メカニズムを回避することが可能。この手法は、ヨルダン政府機関に対する攻撃でも確認されており、攻撃グループの地域的な焦点と攻撃方法における一貫したパターンを示しているという。

バックドアマルウェアSpearalの感染経路
バックドアマルウェアSpearalの感染経路
新たな脅威:CacheHttp.dll

 今回の調査で、新たな亜種マルウェアであるCacheHttp.dllも発見されたという。同調査は、このCacheHttp.dllも、イラク国内の同じ組織をターゲットにしていると推測している。このマルウェアは過去にあった脅威を進化させたもので、特定のウェブサーバーの活動を監視し、それに対応するように設計されているとのことだ。

 CacheHttp.dllは特定のヘッダーについてのウェブリクエストを検査し、事前に定義されたパラメーターに基づいてコマンドを実行するという。

【関連記事】
チェック・ポイント、生成AIセキュリティの新機能を発表 AIの安全な導入、データ損失防止が可能に
LockBit3の衰退後、ランサムウェアグループRansomHubが活発に──チェック・ポイント調査
チェック・ポイント、フィッシング攻撃に対抗する新AIエンジン発表 既存ブランドのなりすまし検知精度向上

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/20437 2024/09/25 15:50

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング