Symantecはこのほど、「Crambus: New Campaign Targets Middle Eastern Government|Symantec Enterprise Blogs」において、2023年2月から9月までの8カ月間に、イランの脅威グループ「Crambus(別名:OilRig、MuddyWater、APT34)」による中東の政府を標的としたキャンペーンを確認したと報じた。この攻撃により少なくとも12台のコンピュータに悪意のある活動が発生し、さらに数十台のコンピュータにバックドアとキーロガーが設置されたという。
Symantecによると、Crambusはイランに関係したサイバー攻撃グループで、サウジアラビア、イスラエル、アラブ首長国連邦、イラク、ヨルダン、レバノン、クウェート、カタール、アルバニア、米国、トルコを含む複数の国を標的とした作戦を展開しているとのこと。この脅威グループは情報収集やスパイ目的に長期間にわたり標的のシステムに侵入する特徴があるという。
Symantecは、今回のキャンペーンにおいて「PowerExchange」と呼ばれる既知のバックドアが利用されていたことを確認している。ほかにも、発見されていなかった3つのマルウェアと数多くの常駐ツールや正規のツールが悪用されたという。確認された主なマルウェアやツールは次のとおり。
- Backdoor.PowerExchange - ハードコートされた資格情報を使用してMicrosoft Exchangeサーバへログインし、サーバに送られてくる電子メールを監視してさまざまな処理を行うPowerShellベースのマルウェア。メールの件名に「@@」が含まれる場合はそのメールに含まれるコマンドを実行し、削除済みアイテムフォルダにメールを移動して隠蔽する機能などをもつ
- Backdoor.Tokel - コマンド&コントロール(C2: Command and Control)サーバと通信して、任意のPowerShellコマンドを実行し、ファイルをダウンロードする機能を提供する
- Trojan.Dirps - ディレクトリ内のすべてのファイルを列挙して、PowerShellコマンドを実行する
- Infostealer.Clipog - クリップボードデータの窃取、キーストロークのキャプチャ、キー入力を行っているプロセスのログを記録する情報窃取マルウェア
- Mimikatz - 認証情報ダンプツール
- Plink - PuTTY SSHクライアント用のコマンドライン接続ツール
Crambusは長年にわたって活動を続けてきたサイバー攻撃グループで、イランに関心のある標的に長期にわたって作戦を実行する広範な専門知識を持つとされる。Symantecによると、このグループは2019年にツールセットを暴露されており、これにより組織が消滅するのではないかと推測されていたという(参考:「A Mystery Agent Is Doxing Iran's Hackers and Dumping Their Code | WIRED」)。しかしながら、過去2年間の活動から、いまだに脅威であることがわかるとして警戒を呼びかけている。
Symantecはこの件の分析で判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)と、本件の攻撃で使用されたPowerExchangeのコードを公開している。Microsoft Exchangeサーバの管理者やセキュリティ企業には、システムを保護するために最新のベストプラクティスの実践とこれら情報の活用が望まれている。