Mandiant(Google Cloud)はこのほど、「When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors|Mandiant」において、イランとの関係が疑われている脅威アクター「UNC1549」によるイスラエル、アラブ首長国連邦の航空宇宙、防衛産業を標的としたキャンペーンを観察したと伝えた。標的にはトルコ、インド、アルバニアなどの中東諸国が含まれる可能性があるという。

  • When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors|Mandiant

    When Cats Fly: Suspected Iranian Threat Actor UNC1549 Targets Israeli and Middle East Aerospace and Defense Sectors|Mandiant

「UNC1549」による スパイ活動は継続中

Mandiantによると、このスパイ活動キャンペーンは少なくとも2022年6月から開始され、現在も継続中とされる。この脅威アクターは地理的な条件に基づく標的に焦点を当てているとみられるが、世界中で活動するグローバル企業も標的に含まれるという。

このキャンペーンでは、初期アクセスにスピアフィッシングおよびフィッシングサイトを使用した認証情報の収集という一般的な攻撃手法が用いられる。スピアフィッシングではイスラエルとハマスの紛争に関連したコンテンツや、偽の求人情報から偽のWebサイトへのリンクの拡散が行われる。これら偽のWebサイトからは悪意のあるペイロードが配布される。

  • ボーイングを装ったフィッシングサイト - 提供:Mandiant

    ボーイングを装ったフィッシングサイト 引用:Mandiant

「UNC1549」が用いるマルウェアの特徴

このキャンペーンで配布されるペイロードは主にバックドア機能を持つマルウェア「MINIBIKE」、「MINIBUS」のいずれかで、トンネリング機能を提供する「LIGHTRAIL」を含む場合もあるとされる。MINIBIKEとMINIBUSはコマンド&コントロール(C2: Command and Control)サーバとの接続を確立し、ディレクトリーとファイルの一覧、システムファイルなどの情報を窃取し、ファイルのアップロード、追加のプロセスの実行などの機能を脅威アクターに提供する。また、MINIBUSはおとりのアプリケーションや画像を含んでおり、インストール時におとりを表示する機能を持つ。

これらバックドアはC&CサーバにMicrosoft Azureを悪用する。そのため、悪意のある通信を識別することは困難とされる。また、サーバのホスト名に正当性を感じられる命名スキームを使用しており、悪意のある活動を隠蔽するように進化しているという。

対策

これらキャンペーンでは、スピアフィッシング攻撃やフィッシングサイトから認証情報を収集する攻撃が行われている。そのため、これら攻撃を回避するにはフィッシング対策のベストプラクティスを実践することが推奨されている。また、Mandiantは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。