Source: https://www.darkreading.com/cyberattacks-data-breaches/iran-linked-hackers-europe-new-malware
🛡 概要
イランに関連するサイバー諜報グループが、伝統的な中東の狩猟場を越えて、西欧の重要インフラ組織を標的にする活動を拡大しています。Check Point Softwareの研究者たちは、この脅威グループを「Nimbus Manticore」として追跡しており、UNC1549またはSmoke Sandstormとも重なります。この新たな活動は、デンマーク、ポルトガル、スウェーデンの防衛製造、通信、航空会社を狙っています。
🔍 技術詳細
このキャンペーンの中心には、「MiniJunk」という高度に難読化されたバックドアがあり、攻撃者に感染したシステムへの持続的なアクセスを提供します。さらに、「MiniBrowse」という軽量の情報窃取ツールも存在し、ChromeやEdgeブラウザからの認証情報を盗むための別バージョンがあります。MiniJunkは、過去にMandiantが報告した「Minibike」の改良版であり、ファイルのアップロードやダウンロード、プロセスの実行、データの流出を可能にします。攻撃者は、HTTPSを介して複数のコマンド&コントロールサーバーと通信し、難読化されたトラフィックを使用することで、監視や検出を難しくしています。
⚠ 影響
この脅威グループの攻撃は、特に防衛、通信、航空業界において重大な影響を及ぼす可能性があります。Nimbus Manticoreは、特定のターゲットに対してカスタマイズされたフィッシングメールを使用し、信頼できるHRリクルーターからのものに見せかけています。これにより、被害者は偽の求人関連ログインページに誘導され、マルウェアが感染する危険性が高まります。さらに、イランの革命防衛隊(IRGC)に関連する脅威グループとして、彼らの活動は国際的な安全保障に対するリスクをもたらします。
🛠 対策
組織は、Nimbus Manticoreの活動を検出するための具体的な侵害指標を使用することが推奨されます。また、フィッシング攻撃に対する教育を強化し、信頼できるソースからのメールのみを開くようにすることが重要です。マルウェアの検出と防止のためには、最新のセキュリティソフトウェアを導入し、定期的なシステムの監査を実施することが求められます。特に、攻撃者の高度な難読化技術に対抗するためには、セキュリティ体制を強化し、リアルタイムでの脅威情報の共有が重要です。
