Iran – IoT OT Security News

SimpleHelp というリモート・サポート製品を悪用：イランの MuddyWater の戦術を暴露

MuddyWater Uses SimpleHelp to Target Critical Infrastructure Firms

2023/04/18 InfoSecurity — MuddyWater という、イラン政府に支援される脅威アクターは、被害者のデバイス上で永続性を確立するために、正規の SimpleHelp リモート・サポート・ソフトウェア・ツールを使用していることが確認されている。Group-IB の新たなアドバイザリによると、これらの攻撃の一部として使用されるソフトウェアは、脆弱化されたものではない。その代わりに、この脅威アクターは、公式 Web サイトからツールをダウンロードし、攻撃に使用する方法を発見したようだ。

SandStrike という Android 向けスパイウェア：悪意の VPN アプリ経由で端末に感染

Experts Warn of SandStrike Android Spyware Infecting Devices via Malicious VPN App

2022/11/02 TheHackerNews — これまで文書化されていなかった Android のスパイウェア・キャンペーンが、一見無害な VPN アプリを装って、ペルシャ語圏の人々を襲っていることが判明した。ロシアのサイバーセキュリティ企業である Kaspersky は、このキャンペーンを SandStrike という名前で追跡している。ただし、それは、特定の脅威グループに起因するものではない。

Polonium カスタム・バックドア：OneDrive 上の C2 Server を Microsoft が検出

Researchers Uncover Custom Backdoors and Spying Tools Used by Polonium Hackers

2022/10/12 TheHackerNews — Poloniumとして追跡されている脅威アクターが、2021年9月以降に７種類のカスタム・バックドアを用いてイスラエルの団体を狙うという、十数件の高度な標的型攻撃に関連していることが判明した。サイバー・セキュリティ企業の ESET は、エンジニアリング／IT／法律／通信／メディア／保険／ソーシャルサービスなどの、さまざまな垂直方向の組織への侵入があったと述べている。

RatMilad という新種の Android スパイウェア：VPN などを装い企業ユーザーを狙う

Experts Warn of New RatMilad Android Spyware Targeting Enterprise Devices

2022/10/05 TheHackerNews — RatMilad と呼ばれる新種の Android マルウェアが、VPN／電話帳を装うアプリとして、中東のエンタープライズ・モバイル・デバイスを標的としていることが確認された。Zimperium が TheHackerNews と共有したレポートによると、このモバイル型トロイの木馬は、感染したモバイル・エンドポイントから各種データを収集／流出させるコマンドを、受信／実行する機能を持つ高度なスパイウェアとして機能するとのことだ。

米政府がイランを制裁：MuddyWater と APT34 に対する国家による支援を指摘

US Sanctions Iran Over APT Cyberattack Activity

2022/09/10 DarkReading — 米国連邦政府は、イラン政府が APT (advanced persistent threat) グループを介して組織的に、米国を標的にしてきたサイバー犯罪行為について、制裁に乗り出した。米国財務省外国資産管理局 (OFAC : Department of the Treasury’s Office of Foreign Assets Control) は、イラン情報安全保障省 (MOIS : Ministry of Intelligence and Security) に対して、2007年以降における米国と同盟国に対するサイバー犯罪に関与していると判断／指定した。

SysAid で Log4j の脆弱性を悪用：イラン政府のハッカーがイニシャル・アクセスに成功

Iranian Government Hackers Exploit Log4Shell in SysAid Apps for Initial Access

2022/08/26 SecurityWeek — イラン政府に関連するとされる脅威グループが、SysAid の Log4Shell 脆弱性を悪用し、ターゲットの組織へのイニシャル・アクセスを確立したようだ。Apache Log4j のロギング・ユーティリティに影響を与える脆弱性 Log4Shell は、2021年12月に明るみに出たものである。この脆弱性 CVE-2021-44228 は、リモート・コード実行に悪用される可能性があり、営利目的のサイバー犯罪者に加えて、国家に支援されるサイバー・スパイにも悪用されてきた。

VMware の深刻な RCE 脆弱性 CVE-2022-22954：イランからのバックドア展開を検出

Iranian Hackers Exploiting VMware RCE Bug to Deploy ‘Core Impact’ Backdoor

2022/04/25 TheHackerNews — 先日にパッチが適用された VMware の脆弱性を悪用する、Rocket Kitten というイランに関連する脅威アクターが、脆弱なシステムにイニシャル・アクセスを仕掛け、Core Impact ペンテスト・ツールを展開する様子が観察されている。この深刻な脆弱性 CVE-2022-22954 (CVSS：9.8) は、VMware Workspace ONE Access and Identity Manager に影響を与える、リモートコード実行 (RCE) の欠陥に起因するものだ。

英豪の国防相／外相ミーティング：ロシア／中国／イランなどからのサイバー攻撃に反撃

Australia vows to ‘fight back’ against cyberattacks from China, Russia

2022/01/20 SCMP — オーストラリアの Peter Dutton 国防相は、シドニーで開催される協議に先立ち、中国／ロシア／イランからのサイバー攻撃に対して、英国と共に反撃すると述べた。金曜日に、オーストラリアの国防相と外務相は、英国のカウンターパートである Ben Wallace および Liz Truss と、Australia-United Kingdom Ministerial Consultations (AUKMIN) を開催する。

ロシア政府による REvil 破壊から読み取るべき５つのシグナルとは？

Five Key Signals From Russia’s REvil Ransomware Bust

2022/01/18 SecurityWeek — 突然にロシアの最高法執行機関が、ランサムウェア REvil を公開捜査したことで、大規模なランサムウェア攻撃を阻止する鍵は、外交が握っているのではないかと話題になっている。この囮捜査は、「米国の要請を受けて」という慎重な発表に続いて行われたが、その背景には、ロシアとウクライナの地政学的な対立がある。そして、すでに、データ消去などを目的とした、ウクライナ政府に対するマルウェア攻撃や標的型 Web サイトの改ざんに結びついている。

イランの国家支援ハッカーが Log4j 攻撃により新規の PowerShell バックドアを投下

State hackers use new PowerShell backdoor in Log4j attacks

2022/01/11 BleepingComputer — イランの国家支援グループ APT35 (Charming Kitten／Phosphorus) に属すると思われるハッカーが、Log4Shell 攻撃により新たな PowerShell バックドアを投下していることが確認されている。このモジュール型ペイロードは、C2 通信を処理し、システムの列挙を行い、最終的には追加モジュールの受信／復号化／ロードを行うことが可能とされる。Log4Shell は、12月に公開された Apache Log4j の深刻なリモートコード実行の脆弱性 CVE-2021-44228 を悪用するものである。

ロシアのスパイグループが Log4Shell の悪用を開始：APT28／Turla／Ursnif などによる探索を検知

Russian Cyberspy Groups Start Exploiting Log4Shell Vulnerability

2021/12/17 SecurityWeek — 先日に公開された、Log4Shell の脆弱性を狙う国家のリストにロシアが追加されたが、すでに複数のロシアン・サイバースパイ・グループが悪用を試みている。この、CVE-2021-44228／Log4Shell／LogJam として追跡されている、Log4j の脆弱性の悪用は 12月初旬に始まっている。最初の攻撃報告では、暗号通貨マイナー／DDoS マルウェア／ランサムウェア／悪意のプログラムの配信などの、利益を追求するサイバー犯罪者に関連する活動が報告されていた。

Microsoft 警告：国家に支援されたハッカーたちが Log4j 悪用を開始

Nation-state hackers aim to exploit Log4j software flaw, Microsoft warns

2021/12/15 CyberScoop — 火曜日に、Microsoft の Threat Intelligence Team が発表したところによると、中国／北朝鮮／イラン／トルコの政府に関連するハッカーたちが、Apache Log4j の脆弱性を利用する方法を模索しているとのことだ。この脆弱性を利用して、米国の連邦政府機関を標的した例はないが、依然として攻撃を警戒していると、Cybersecurity and Infrastructure Security Agency (CISA) が述べている。

Log4j の２つ目の脆弱性 CVE-2021-45046 が悪用されている：３つ目の脆弱性も浮上

Hackers Begin Exploiting Second Log4j Vulnerability as a Third Flaw Emerges

2021/12/15 TheHackerNews — 水曜日に、Web インフラ企業である Cloudflare は、幅広く利用されている Log4j ロギング・ユーティリティーの２つ目のバグを悪用しする脅威が存在することを明らかにした。パッチを適用していないシステムに対して、多様なマルウェアによる攻撃が続いているため、顧客は最新バージョンのインストールを迅速に行う必要がある。

US／UK が警告：イランのハッカーが Microsoft Exchange／Fortinet FortiOS を悪用

US, UK warn of Iranian hackers exploiting Microsoft Exchange, Fortinet

2021/11/17 BleepingComputer — 今日、米国／英国。／オーストラリアのサイバーセキュリティ機関は、イランの支援を受けたハッキング・グループに関連する、Microsoft Exchange ProxyShell と Fortinet の脆弱性が継続的に悪用されていると警告した。この警告は、CISA／FBI／ACSC (Australian Cyber Security Centre)／NCSC (United Kingdom’s National Cyber Security Centre) の４機関により共同で発表されている。

Tag: Iran