イランのハッカーが中東の重要インフラ(CNI)にVPNの脆弱性とマルウェアを通じて2年間アクセスし続ける

Security

記事本文(要約)

イランの国家支援による脅威グループが、中東の重要な国家インフラに対して、約2年間にわたるサイバー侵入を行ったとされています。この活動は2023年5月から2025年2月まで続き、広範なスパイ活動と将来の戦略的優位性を維持する可能性があるネットワークの事前配置が含まれていました。フォーティネットのレポートにより、この攻撃がイランの既知の国家支援ハッカー「Lemon Sandstorm」(旧Rubidium)と技術手法が重なることが指摘されています。

攻撃は4つの段階に分けられ、被害者の反撃措置に対応する形で進化したツール群を用いました。最初の段階では、被害者のSSL VPNシステムに不正にアクセスし、ウェブシェルを設置し、HavocやHanifNet、HXLibraryといったバックドアを配備しました。後の段階では、NeoExpressRATやMeshCentral Agent、SystemBCなどが投入されました。最後の段階では、Biotime脆弱性(CVE-2023-38950, CVE-2023-38951, CVE-2023-38952)の悪用やフィッシング攻撃により、侵入を再試行しました。

攻撃の主要な手段には、オープンソースのC2フレームワークツールHavocとMeshCentral、およびランサムウェア展開の前兆であるSystemBCが含まれています。攻撃者はまた、被害者のOTネットワークを対象としたが、侵入には至らず、ネットワークセグメント間の移動にプロキシを多用しました。

※この要約はChatGPTを使用して生成されました。

公開日: Sat, 03 May 2025 15:03:00 +0530

Original URL: https://thehackernews.com/2025/05/iranian-hackers-maintain-2-year-access.html

詳細な技術情報

分析:

このセキュリティインシデントは、イランの国家が支援する脅威グループによる、約2年間に渡る中東の重要な国家インフラ(CNI)に対する長期的なサイバー侵入活動に関するものです。

CVE番号:

この攻撃では、特に次のCVE番号が示されています。

  • CVE-2023-38950
  • CVE-2023-38951
  • CVE-2023-38952

これらのCVE番号に関する具体的な脆弱性内容は記載されていませんが、これらの脆弱性を経由してネットワークに再侵入を試みたことが示されています。

脆弱性の仕組み:

攻撃者は、Fortinet、Pulse Secure、Palo Alto NetworksなどのVPNシステムの既知の脆弱性を悪用し、被害者のネットワークへの初期アクセスを獲得しました。この他、Microsoft 365の認証情報を集めるためのスピアフィッシング攻撃も利用しています。

攻撃手法:

攻撃は以下の段階を経て行われました。

  1. 初期侵入と持続的アクセスの確立(2023年5月15日〜2024年4月29日):
  • 被害者のSSL VPNシステムへのログイン情報を盗み取り、初期アクセスを確保。
  • Webシェルを公開サーバーに配置し、Havoc、HanifNet、HXLibraryといったバックドアを展開。
  1. アクセスの強化 (2024年4月30日〜11月22日):
  • さらなるWebシェルとバックドアNeoExpressRATを設置。
  • メールの抽出と仮想化インフラへの横移動を実施。
  1. 対策対応とさらなる侵入(2024年11月23日〜12月13日):
  • MeshCentral AgentとSystemBCといったバックドアを追加展開し、さらにWebシェルを配置。
  1. 再侵入の試みとフィッシング攻撃 (2024年12月14日〜現在):
  • Biotimeの既知の脆弱性を利用した再侵入を狙う。
  • Microsoft 365の認証情報を狙ったスピアフィッシング攻撃を実施。

潜在的な影響:

  • 情報漏洩: 機密情報や重要なインフラに関連するデータの流出。
  • システム操作: 獲得したアクセスを利用した情報操作やサービス妨害。
  • 持続的な脅威: 即座の対応や対策にもかかわらず、長期的なネットワーク内の侵入を維持。

推奨される対策:

  1. VPNシステムのセキュリティ強化:
  • 既知の脆弱性に対してパッチ適用を行う。
  • 不正アクセスを検知するためのログ監視や多要素認証の実施。
  1. 侵入検知と対策:
  • ネットワークへのWebシェルの設置やバックドアの活動を監視し、即時対応を行う。
  1. 従業員のセキュリティ教育:
  • フィッシング攻撃に対するリテラシーを高め、メールの確認や認証情報の取り扱いに注意を促す。
  1. ネットワークのセグメント化と監視:
  • OTネットワークとITネットワークを分離し、セグメントごとに厳密なアクセス制御と監視を実施する。
  1. バックアップとリカバリ計画の強化:
  • 緊急時に備えたデータバックアップ体制とシステムリカバリ計画を整備する。