新たに発覚したスパイウェア攻撃は、3年以上にわたりイランに駐在する外国外交官を標的にしていたようだ。
カスペルスキー研究所の研究者は今週、2015年に初めて確認されたRemexiというマルウェアの新たなビルドが、イラン国内の複数のマシンに潜伏しているのが確認されたと発表しました。そのほとんどは、外国大使館の建物内と思われる場所に設置されたものです。Windowsを標的とするこの監視ソフトウェアは、以前はChaferと呼ばれるハッカー集団と関連付けられていましたが、最新の亜種の調査から、イラン起源であることが示唆されています。
カスペルスキー社のデニス・レジェゾ氏は感染について、「このマルウェアは、可能な場合には暗号を解除し、キー入力、スクリーンショット、クッキーや履歴などのブラウザ関連データを抜き出すことができる」と述べた。
「攻撃者はクライアント側とサーバー側の両方で Microsoft のテクノロジに大きく依存しています。トロイの木馬は、Microsoft バックグラウンド インテリジェント転送サービス (BITS) の bitsadmin.exe などの標準の Windows ユーティリティを使用してコマンドを受信し、データを盗み出します。」
興味深いことに、レゲゾ氏は、マルウェアがどのように拡散しているのかはまだ分かっていないが、イラン国内に拠点を置く「外国の外交機関」を標的にしているとだけ述べている。
「これまでのところ、当社のテレメトリでは、Remexi マルウェアがどのように拡散したかを示す具体的な証拠は提供されていません」と伝えられています。
しかし、ある被害者については、Remexi のメイン モジュールの実行と、PE としてコンパイルされた AutoIt スクリプトの実行との間に相関関係が見つかり、これがマルウェアを投下した可能性があると考えられることを言及しておく価値があると思います。
DNSハイジャックメールの犯人としてイランと関係のある人物が特定される
続きを読む
スパイウェアは被害者のマシンに侵入すると、非常に永続的に活動し、感染したWindowsのバージョンに応じて、スケジュールされたタスク、HKLMハイブ内のUserinitおよびRunレジストリキーに潜伏します。データは、Microsoftの転送ユーティリティbitsadmin.exeを使用してコマンド&コントロールサーバーに流出します。
マルウェアのタイムスタンプによると、その開発は2018年3月に完了したようだが、コードの一部はそれよりもかなり古いものと思われる。
このマルウェア攻撃の正確な目的は不明ですが、カスペルスキーの研究者たちは、この攻撃は中東の反逆国イランにおける外国外交官の活動を監視するための国内スパイ活動の一環だと考えています。研究者たちは、外国大使館を標的としていることに加え、暗号鍵にペルシャ語が使用されていることなど、イランの工作員が攻撃の背後にいることを示唆する手がかりを指摘しています。
イランは、近年、オンラインスパイ活動が特に活発な国の一つとして挙げられています。政権はスパイ活動や監視活動にマルウェアを使用していますが、イランのグループは主にソーシャルメディア上でのキャンペーン活動に注力しており、その目的は国の政治的利益の増進にあるとされています。®
