Source: https://thehackernews.com/2025/09/unc1549-hacks-34-devices-in-11-telecom.html
🛡 概要
イランに関連するサイバー諜報グループUNC1549が、LinkedInの求人を悪用して欧州の通信企業を狙い、11社の34台のデバイスを侵害した。このグループは、スイスのサイバーセキュリティ企業PRODAFTによって「Subtle Snail」として追跡されている。UNC1549は、イランのイスラム革命防衛隊(IRGC)と関連付けられているとされ、カナダ、フランス、UAE、英国、米国に拠点を持つ企業が標的となった。
🔍 技術詳細
UNC1549は、合法的な企業の人事担当者を装い、標的の従業員と接触することで侵入を図る。具体的には、MINIBIKEと呼ばれるバックドアを使用し、Azureクラウドサービスを通じてコマンド・アンド・コントロール(C2)インフラに接続する。CVEやCVSSの情報は確認されていないが、攻撃手法は非常に巧妙で、特にLinkedInでの徹底した情報収集に基づいている。攻撃者は、研究者やIT管理者など、重要なシステムへのアクセス権を持つ人々をターゲットにしている。
⚠ 影響
この攻撃により、通信企業は機密データの漏洩や長期的なアクセスの確保に対する重大なリスクにさらされている。UNC1549は、標的のデバイスに対して独自のDLLを構築・展開し、システム情報を収集し、さらに追加のペイロードを待機する。特に、Microsoft Outlookの認証情報やブラウザデータを盗む能力は、企業の機密情報を危険にさらす。また、攻撃者は共有フォルダに保存された機密ファイルを狙っており、ビジネス上の秘密や個人データが漏洩する可能性がある。
🛠 対策
このような攻撃から企業を守るためには、従業員に対する教育が不可欠である。特に、LinkedInなどのSNSでの接触に注意を払い、信頼できない求人に対する警戒を促すことが重要だ。また、システムに対する監視や定期的なセキュリティ診断を実施し、異常な挙動を早期に発見する体制を整える必要がある。さらに、DLLサイドローディングなどの手法に対する防御策を講じることも効果的である。これにより、企業はUNC1549のような脅威からの影響を軽減することができる。
