2022年12月8日

新しいMuddy Waterの脅威:新しい泥水はさらに濁っている

Deep Instinctが新しいMuddyWater(意味:泥水。スラングで“物事を理解しにくくするために関係ないことを持ち出す“という意味もある)の脅威キャンペーンを発見しました。この脅威の分析を紹介します。

MuddyWaterは、Static KittenやMercuryとしても知られ、イラン情報安全保障省(MOIS)内の下部組織と評価されるサイバースパイグループです。少なくとも2017年以降、MuddyWaterは、中東、アジア、アフリカ、ヨーロッパ、北米において、通信、地方自治体、防衛、石油・天然ガス組織など、セクターを超えたさまざまな政府組織や民間組織を標的にしてきました。

MuddyWaterは、それぞれ全く異なる様々なキャンペーンを行っていますが、ここでは、正規のリモート管理ツールを用いたスピアフィッシングを活用した彼らのキャンペーンの最新の変化とその分析に焦点を当てます。

エグゼクティブサマリー:

  • Deep Instinctの脅威リサーチチームは、「MuddyWater」グループの新たなキャンペーンを確認
  • このキャンペーンは、アルメニア、アゼルバイジャン、エジプト、イラク、イスラエル、ヨルダン、オマーン、カタール、タジキスタン、アラブ首長国連邦を標的としていることを確認
  • このキャンペーンは、以前報告されたMuddyWaterの活動と比べてアップデートされたTTP(戦略/技術/手順)を使用

図1:キャンペーン概要
図1:キャンペーン概要

MuddyWaterは正規ツールを悪用

これまでの調査 で、2020年にMuddyWaterは、ダイレクトリンクのほか「ws.onehub.com」でホストされているアーカイブへのリンクを含むPDFやRTFの添付ファイル付きのスピアフィッシングメールを送信していたことが判明しています。

それらのアーカイブには、正規のリモート管理ツールである「RemoteUtilities」のインストーラーが含まれていました。

2021年の初めから、MuddyWaterは、”ws.onehub.com”でホストされているアーカイブへのリンクを含む直接リンクまたはWord文書を含むスピアフィッシングメールを送信することが 確認されています

2021年のアーカイブには、別の正規リモート管理ツールであるScreenConnectのインストーラーが含まれていました。

この活動は、 2021年末から2022年7月まで断続的に観測されました

2022年7月には、このキャンペーンに関連する潜在的なファイルが観測されましたが、通常の ScreenConnect の代わりに Atera Agent が含まれており、これは、脅威者が長期間のキャンペーンの検出を避けるためにさらに別のリモート管理ツールに切り替えたことを示す可能性があります。

新しい発見:MuddyWaterキャンペーン

最新のMuddyWater攻撃キャンペーンは、10月初旬にDeep Instinctによって観測されましたが、おそらく2022年9月にもっと早く始まっていたのでしょう。

このキャンペーンがこれまでのものと異なるのは、「Syncro」と名付けられた別のリモート管理ツールを使用している点です。

HTMLの添付ファイルという新しいルアードキュメントが確認され、リモート管理ツールのインストーラーを含むアーカイブをホストする他のプロバイダーも追加されました。

前述した ScreenConnect を使用した 7 月のサンプルは、"promotion.msi" という名前でした。 今回のキャンペーンでは、いくつかの名前を持つサンプルがあり、そのうちの1つも”promotion.msi”でした。上記の ScreenConnect サンプルは”instance-q927ui-relay.screenconnect.com”と通信し、このインスタンスは、サウジの組織名である”Ertiqa.msi” という別の MSI インストーラーと通信しています。

今回の波では、MuddyWaterは同じ名前の “Ertiqa.msi” を使用していますが、Syncroインストーラを使用しています。

また、ターゲットの地理的位置と分野も、MuddyWaterの以前のターゲットと一致しています。これらの指標を組み合わせることで、これがMuddyWaterの脅威グループであることを確認するのに十分な証拠を得ることができます。

例1: エジプトのホスティング会社

Dropboxに直接リンク:

図2:Dropboxへの直接リンクが含まれたメール
図2:Dropboxへの直接リンクが含まれたメール

このメールはエジプトのデータホスティング会社から送信されました。OneHubを使用した以前のキャンペーンとは異なり、今回MuddyWaterはDropboxを使用してSyncroインストーラを含むアーカイブファイルをホストしています:

図 3: Syncro の MSI インストーラを含む Dropbox 上の Zip アーカイブ
図 3: Syncro の MSI インストーラを含む Dropbox 上の Zip アーカイブ

OneDriveにつながるHTML添付ファイル:

図4:HTMLを添付したメール
図4:HTMLを添付したメール

Dropboxのリンクを含むメールが送信された同じ日に、MuddyWaterはエジプトのホスティング会社の同じアドレスから、別のエジプトのホスティング会社にメールを送信しました。

メールメッセージに直接リンクを埋め込む代わりに、HTMLの添付ファイルが送信されました。

これは、信頼させるための手法として知られています。受信側はメールを送ってきた会社を知っている。添付ファイルはアーカイブや実行ファイルではないため、エンドユーザーに疑念を抱かせることはない。フィッシングに関する研修やシミュレーションでも、HTMLは見落とされることがほとんどです。

HTMLは、少なくともAVやメールセキュリティソリューションの観点からは「より安全」であると考えられています。これらのソリューションにはHTMLをスキャンする機能がありますが、受信者まで配信されて届いても、ブロックされないことがよくあります。

HTML自体は非常に小さく、その主な機能は、あらゆるリンクを「安全」リンクに置き換える電子メールHYPERLINK「https://support.microsoft.com/en-us/office/advanced-outlook-com-security-for-microsoft-365-subscribers-882d2243-eab9-4545-a58a-b36fee4a46e2」ソリューションを バイパスする可能性が高いです。

図5:OneDriveへのリンクが含まれるHTMLの添付ファイル
図5:OneDriveへのリンクが含まれるHTMLの添付ファイル

HTMLファイル内のリンクは、今回OneDriveにつながり、Syncro MSIインストーラーを含むアーカイブファイルをホストしていました。

例2 イスラエルのホスピタリティ業界

11月初旬の別の例では、MuddyWaterは、イスラエルのホスピタリティ業界の企業から、イスラエルのさまざまな保険会社の多数の連絡先にこのようなメールを送信しました:

図6:HTMLを添付したメール
図6:HTMLを添付したメール

このメールでは、接客業の会社が保険を探しているという趣旨のことが書かれています。

テキストはヘブライ語で書かれていますが、ネイティブスピーカーからみると言葉の選択に違和感があるため、疑わしいと感じるかもしれません。

このリンクも例のSyncro MSIインストーラを含むOneDriveでホストされたアーカイブファイルにつながっています:

図7:OneDriveへのリンクが含まれるHTML添付ファイル
図7:OneDriveへのリンクが含まれるHTML添付ファイル

このようにTTP(戦略/技術/手順)にかかわらず、Syncroインストーラーのほとんどは、依然としてOneHubでホストされています:

図 8: OneHub にホストされている Syncro MSI インストーラを含むアーカイブ
図 8: OneHub にホストされている Syncro MSI インストーラを含むアーカイブ

MuddyWaterがメールサーバーにフルアクセスしたのか、それとも1つのメールボックスの認証情報のみを入手したのかは不明ですが、メールは正規の企業アカウントから送信されています。このように、それほど巧妙でないにもかかわらず、この手口は有効であることがわかります。

Syncro:複数の攻撃者が使用するツール

Syncroを悪用しているのはMuddyWaterだけではなく、最近ではBatLoaderLuna Moth のキャンペーンでも確認されています。

Syncroは、マネージドサービスプロバイダー(MSP)がビジネスを運営するためのフル機能を備えたプラットフォームです。

図9:MSI内部のSycnroインストーラー
図9:MSI内部のSycnroインストーラー

SyncroはMSP向けにエージェントを提供し、顧客IDを含むカスタムメイドの提供MSIファイルによりSyncroがインストールされたデバイスを管理することができます。

図 10: CustomerID と ApiKey を使用した Syncro のインストールプロセス
図 10: CustomerID と ApiKey を使用した Syncro のインストールプロセス

Syncroには21日間のトライアル機能があり、トライアルに申し込む際に、MSPが使用するサブドメインを選択することができます。

図11:syncromsp.comのサブドメインを選択した場合のSyncro試用版サインアップ画面
図11:syncromsp.comのサブドメインを選択した場合のSyncro試用版サインアップ画面

MuddyWater が使用したいくつかのインストーラを調査したところ、それぞれのユニークなメールに対して、新しい MSI が使用されていました。ほとんどの場合、MuddyWaterは1つのサブドメインに1つのMSIインストーラを使用していました。

いくつかのサブドメインは明確ですが、ほとんどのサブドメインは有用な意味を持っていません:

  • mohammadosman6060とosmandembele4040はサッカー選手の名前
  • netanyahu8585とbenet5050は、イスラエルの現首相と元首相の名前
  • Cham Wingsは、シリアの航空会社の名前

試用版には、Syncroエージェントをインストールしたコンピュータを完全に制御できるWeb GUIの全機能が含まれています:

図 12: Syncro の Web GUI と利用可能なリモート管理機能
図 12: Syncro の Web GUI と利用可能なリモート管理機能

これらの機能は、SYSTEM権限を持つ端末、リモートデスクトップアクセス、ファイルシステムのフルアクセス、タスクおよびサービスマネージャなど、リモート管理ツールとしては標準的なものです。

これらすべての機能を署名済みMSIインストーラと組み合わせることで、脅威者が最初のアクセスを取得し、ターゲット上で偵察を開始するための完璧な武器ができあがります。その後、脅威者は、追加のバックドアの導入、ファイルの流出、他の脅威者へのアクセス権の譲渡を行うことができます。このような機能によって企業のマシンにアクセスした脅威者は、ほぼ無限の選択肢を手にすることができます。

推奨:

最近、悪意のある目的に悪用されているいくつかの デュアルユースツールについて説明 しました。組織内で一般的でないリモート・デスクトップ・ソリューションは、悪用される可能性が高いので、セキュリティ・チームによって制限・監視することをお勧めします。

MITRE ATT&CK:

タクティクステクニック概要オブザーバル

初回アクセス

T1566.001 フィッシング:スピアフィッシングアタッチメント

MuddyWaterは、第三者に侵入し、侵入したアカウントを使用して、標的型の添付ファイルを含むスピアフィッシングメールを受信者に送信しています。

aaa9db79b5d6ba319e24e6180a7935d6

初回アクセス

T1566.002 フィッシング:スピアフィッシングリンク

MuddyWaterは、第三者機関を侵害し、侵害されたアカウントを使用して、リモート管理ソフトウェアでアーカイブをホストする正規のドメインへのリンクを含むスピアフィッシングメールを送信しています。

d1b4ca2933f49494b4400d5bf5ab502e

コントロール・コマンド

T1219 リモート アクセス ソフトウェア

MuddyWaterは、正規のアプリケーションであるSyncroを使って、システムをリモートで管理し、横移動しています。

2ed6ebaa28a9bfccc59c6e89a8990631

リソース開発

T1588.002 オブテイン キャパビリティ:ツール

MuddyWaterは、正規のアプリケーションであるSyncroを使って、システムをリモートで管理し、横移動しています。

2ed6ebaa28a9bfccc59c6e89a8990631

リソース開発

T1583.006 インフラを獲得する。ウェブサービス

MuddyWaterは、OneHub、Dropbox、OneDriveなどのファイル共有サービスを利用して、ツールを配布しています。

https://urlscan.io/result/c6f46810-ee19-47b4-8717-40dc09b4ea09/
- アーカイブを含むDropbox URLをSyncroインストーラーでスキャンします。

 

IOC:
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