MuddyWater Uses SimpleHelp to Target Critical Infrastructure Firms
2023/04/18 InfoSecurity — MuddyWater という、イラン政府に支援される脅威アクターは、被害者のデバイス上で永続性を確立するために、正規の SimpleHelp リモート・サポート・ソフトウェア・ツールを使用していることが確認されている。Group-IB の新たなアドバイザリによると、これらの攻撃の一部として使用されるソフトウェアは、脆弱化されたものではない。その代わりに、この脅威アクターは、公式 Web サイトからツールをダウンロードし、攻撃に使用する方法を発見したようだ。
Group-IB の Senior Threat Analyst である Nikita Rostovtsev は、「私たちのデータによると、MuddyWater が SimpleHelp を使い始めたのは、2022年6月30日のことだ。このアドバイザリの執筆時点で、このグループは、少なくとも8台のサーバに SimpleHelp をインストールしている」と説明している。
被害者のデバイス上にインストールされた SimpleHelp クライアントは、システム・サービスとして常時実行されるため、システムが再起動された後であっても、攻撃者はユーザーのデバイスにアクセスできる。
Rostovtsev は、「SimpleHelp のオペレーターは、リモート接続に加えて、被害者のデバイス上での管理者権限などで、さまざまなコマンドを実行できる。さらに、Connect in Terminal Mode 接続というコマンドを使用して、ターゲット・デバイスを秘密裏に制御することも可能だ」と述べている。
Group-IB は、最初の感染方法は現在のところ不明であるが、フィッシングではないかと考えているようだ。
このアドバイザリには、「SimpleHelp のインストーラーをダウンロードするために、Onedrive や Onehub などのファイル・ストレージ・システムへのリンクを含む、フィッシング・メールが送信されたと推測できる」と記されている。
また、Rostovtsev は、MuddyWater の最新の分析において、これまでに Group-IB が検知していなかったインフラと、攻撃者が使用していた公知の IP アドレスを発見したと説明している。
情報セキュリティの専門家は、「この記事で紹介した ETag ハッシュを使用し、Censys や Shodan などの検索エンジンを使って、悪意のサーバを検索することが可能だ」と説明している。さらに、企業の電子メールセキュリティ・ツールを使用して、さまざまな脅威グループによる、電子メールの攻撃ベクター化を防ぐ必要がある。
SimpleHelp は、Remote Access Service ですが、ググってみても日本語によるコンテンツが殆どないため、日本では用いられていないのかもしれません。2023/04/15 の「Action1 RMM ソフトウェアの悪用:ランサムウェアの永続性を確保している」も、こうしたリモート・サービスが脅威アクターに悪用されるというものでしたが、検出を回避して永続性を保つために、こうした正規のツールが使われるケースが増えています。
IoT OT Security News 
You must be logged in to post a comment.