Source:https://thehackernews.com/2025/11/iranian-hackers-use-deeproot-and.html
🛡 概要
イラン関与が疑われる脅威クラスタUNC1549(別名 Nimbus Manticore / Subtle Snail)が、2023年末から2025年にかけて航空宇宙・航空・防衛分野を継続攻撃している。主要手口は、第三者関係の悪用によるサプライチェーン侵入、VDI環境からのブレークアウト、役割に即した高精度フィッシングである。侵入後は、TWOSTROKE(C++バックドア)やDEEPROOT(Golang製Linuxバックドア)を含む独自ツール群で偵察、資格情報窃取、横展開、情報窃取を実施し、リバースSSHや業界を装ったドメインで秘匿的なC2を維持する。特定のCVEの悪用は本件報告では明示されておらず、CVSSの公式情報も提示されていない。
🔍 技術詳細
初期侵入では二系統が確認される。第一に、サービスプロバイダなど第三者からのピボットで、Citrix、VMware、Azure Virtual Desktop and Applicationの資格情報を濫用して外部リモートサービスに足場を築く。そこから仮想化セッションの枠を越えてホストへ到達し、社内ネットワークで横展開を図る。第二に、求人連絡を装ったスピアフィッシングにより、マルウェア配布や資格情報窃取を行う。特にIT管理者を狙い、特権資格の奪取によって深部へアクセスを拡大する。
ツール群は多層的である。MINIBIKE(別名 SlugResin、C++)はシステム情報収集、追加ペイロード取得、キー入力とクリップボード監視、Microsoft Outlook資格情報窃取、Chrome/Brave/Edgeからのブラウザデータ窃取、スクリーンショット取得を担う。TWOSTROKE(C++)はシステム情報収集、DLL読み込み、ファイル操作、永続化機能を備える。DEEPROOT(Golang、Linux)はシェルコマンド実行、システム列挙、ファイル操作に対応。
トンネリングは、LIGHTRAIL(Lastenzugに着想、Azureインフラ経由のSocks4a相当)、GHOSTLINE(Golang、Windows、ハードコードドメイン使用)、POLLBLEND(C++、Windows、ハードコードC2と設定取得)を用いる。権限奪取と認証情報窃取では、DCSYNCER.SLICK(DCSync攻撃用ユーティリティ)、CRASHPAD(C++、ブラウザ保存資格情報抽出)、SIGHTGRAB(C、定期的スクリーンショット取得)、TRUSTTRAP(WindowsプロンプトでMicrosoftアカウント資格情報を騙し取り)を使用する。一般公開ツールとしては、AD Explorer(Active Directory探索)、Atelier Web Remote Commander(遠隔操作・偵察・資格窃取・デプロイ)、SCCMVNC(リモート制御)を活用。調査妨害としてRDP接続履歴レジストリキーの削除が観測され、長期秘匿のためにバックドアのビーコンを極力静かにし、被害組織の駆除後に再活性化する戦術が取られる。C2はリバースSSHシェルを多用し、フォレンジック痕跡の低減とドメインなりすましで検知回避を実現する。
本件公表情報では、特定CVEの悪用は示されていない。よってCVSSスコアの記載対象はない。
⚠ 影響
サプライチェーンの弱点から堅牢な防衛企業へ侵入され、知的財産、設計・ネットワーク文書、メール等が段階的に流出する恐れがある。VDIブレークアウトにより、仮想化境界に依存した防御が崩れ、横展開と長期潜伏を許す。調査妨害と静的ビーコンにより、根絶に失敗すると再侵入の温床となる。
🛠 対策
第三者接続はゼロトラスト原則で隔離し、外部リモートサービス(Citrix、VMware、AVD)へのアクセスはMFA、条件付きアクセス、ネットワーク分離、強制VPNかつデバイス準拠で制御する。特権アカウントはPAMで貸出制、Tier分離、緊急時発行の短命化を徹底。ドメインのレプリケーション権限は厳格に最小化し、DCSync検知を導入。EDRで不審トンネル、リバースSSH、ブラウザ資格情報抽出、スクリーンショット連続取得の兆候を監視。VDIはホスト分離、クリップボード・ドライブリダイレクトの最小化、エスケープ検出のテレメトリを必須化。サプライヤとは最小権限の委任・監査・鍵ローテーションを契約要件化する。
📌 SOC視点
認証・アイデンティティ: 4624/4625(ログオン)、4672(特権ログオン)、4768/4769(Kerberos)、Azure AD サインインリスク、条件付きアクセスブロック。AD監査: 4662(DSアクセス、Replication-Get-Changes系権限の利用)、不審なレプリケーション権限の付与・委任変更。プロセス/ネットワーク: Sysmon 1(プロセス作成)、3(ネットワーク接続)、11(ファイル作成)、13(レジストリ変更)、22(DNSクエリ)。長寿命の外向きSSH、Socks系プロキシ、Azureホストへの恒常接続を相関検知。レジストリ: RDP履歴キー(HKCU\Software\Microsoft\Terminal Server Client\Servers 等)の削除を指標にインシデント応答を起動。エンドポイント: ブラウザのLogin Data等への大量アクセス、連続スクリーンショット保存、キーログ痕跡を監視。メール: 役割特化の求人誘引リンク、同一キャンペーンからのURL再利用をIOC化。
📈 MITRE ATT&CK
初期侵入: T1199 Trusted Relationship(第三者からのピボット)、T1566 スピアフィッシング(求人を装った誘導)、T1133 External Remote Services(Citrix/VMware/AVD資格の悪用)、T1078 Valid Accounts(窃取資格の使用)。実行: T1059 Command and Scripting Interpreter(DEEPROOT等がシェル実行をサポート)。発見: T1087 Account Discovery、T1482 Domain Trust Discovery(AD Explorer等)。認証情報アクセス/権限昇格: T1003.006 DCSync(DCSYNCER.SLICK)、T1555 Credentials from Password Stores(CRASHPADによるブラウザ資格情報抽出)。収集: T1056.001 Keylogging(MINIBIKE)、T1115 Clipboard Data、T1113 Screen Capture、T1114 Email Collection。横展開: T1021 Remote Services。防御回避: T1070 Indicator Removal on Host(RDP履歴削除)、T1112 Modify Registry。C2/データ流出: T1090 Proxy(LIGHTRAIL/GHOSTLINE/POLLBLEND)、T1572 Protocol Tunneling、T1041 Exfiltration Over C2 Channel。リソース開発: T1583/1584 インフラ準備(業界を装うドメイン)。
🏢 組織規模別助言
小規模(〜50名): 外部リモートへのMFA強制、主要SaaSとADの監査ログをMDRへ転送、管理者アカウントの二人承認。VDIやRDPを公開しない。EDRを全端末に統一。
中規模(50〜500名): 取引先ごとにネットワークセグメントを分離し、特権アクセスはPAMでワークフロー化。Azure AD条件付きアクセスで準拠デバイスのみ許可。DCSync検知とレプリケーション権限の棚卸しを四半期ごとに実施。フィッシング演習は役割別シナリオで。
大規模(500名以上): サプライヤリスク管理とSBOM/アクセス委任の年次監査、境界でのプロキシ・SSHトンネルの動的検知、紫チーム演習でVDIブレークアウト検出のギャップを特定。ADはTier分離、ドメインコントローラのネットワーク分離、緊密な秘匿C2(クラウド経由)に対するTLSフィンガプリントとDNSテレメトリ相関を恒常運用。
🔎 類似事例
PRODAFTは、同クラスタによる欧州通信事業者へのLinkedInリクルート偽装キャンペーンで11組織侵害を報告。Citrixなど外部リモートサービスの資格情報悪用は他キャンペーンでも多用されており、サプライチェーンからの侵入と併用される傾向が強い。なお本件で特定CVE悪用は未特定。
🧭 次の一手
自社と主要サプライヤの外部リモートサービス資産・認証経路を棚卸し、MFAと条件付きアクセスを即時適用。ADのレプリケーション権限監査とDCSync検知を運用に組み込む。ハンティングではリバースSSHとSocks系トンネル、RDP履歴削除、ブラウザ資格情報抽出の挙動を優先確認。MandiantやPRODAFTの原典レポートを内部IOCに落とし込み、週次で検出ルールを改善する。
