チェック・ポイント・リサーチ、イラク政府を標的とした巧妙なサイバー攻撃を発見　検出されたマルウェアにイランとの関連を確認

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2024年09月25日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は最近、イラク政府を標的としたサイバー攻撃を発見しました。これにより、国家と連携した巧妙で執拗なサイバー脅威を浮き彫りにする懸念すべき攻撃パターンが明らかになりました。Googleが運営する、ファイルやウェブサイトのマルウェア検査ツール「Virus Total」にアップロードされたファイルを調査した結果、攻撃で使用されたマルウェアが、イラン系グループによる他地域への攻撃で用いられたマルウェアと酷似していることが判明しました。

主なハイライト
- チェック・ポイント・リサーチは、イラク政府機関のネットワークに対する巧妙なサイバー攻撃を発見しました。
- マルウェアを展開するために使用されたインストーラーにはイラク閣僚評議会事務局のロゴがあり、侵害されたサーバーのドメインはイラク首相府と外務省に関連するものでした。
- 攻撃に使用された新しいマルウェアは、ヨルダン、パキスタン、レバノンの政府に対する攻撃で使用された他のマルウェアファミリーと驚くほど類似しており、イラン情報安全保障省（MOIS）との関連が確認されました。

攻撃の概要
チェック・ポイント・リサーチは過去数カ月間にわたり、イラク政府へのサイバー攻撃を注視してきました。調査の結果、感染したファイルには高度なマルウェアが含まれており、首相府や外務省といったイラクの組織を標的としていたことが判明しました。また、この攻撃はイラン情報安全保障省（MOIS）と関連のあるサイバーグループ、APT34と関係していることも明らかになりました。このグループは、以前にもヨルダンやレバノンの政府に対して同様の戦術を用いています。パキスタン側から入手した情報の分析結果もこれと関連するマルウェアファミリーの存在を示しており、中東地域におけるこれらの攻撃の背後には同じグループがいることが示唆されています。

マルウェア
攻撃には、VeatyとSpearalという2つの新しいマルウェアファミリーが使用され、いずれも高度で検出を巧妙に回避する機能を備えています。これらマルウェアの系統は、以下のセットアップウィザードのような、良性のドキュメントを装った偽装ファイルを通じて拡散されました。ソーシャルエンジニアリングの手口で欺かれたユーザーがこれらのファイルを開くと、マルウェアがシステムにインストールされ、再起動後も存続できるよう自身をシステムに組み込みます。

イラク閣僚評議会事務局のロゴを使用したマルウェア“Spearal”を展開するために使用されたインストーラー

Veatyマルウェア：回避機能を持つコミュニケーター
Veatyマルウェアは、検出を回避するよう設計された高度な通信戦略を採用しています。Veatyは、C&C（コマンド＆コントロール）メールサーバーとの接続を、以下のような方法で確立します。
- 認証情報なしでの接続
- ハードコードされた認証情報の利用
- 外部の認証情報を使用
- 信頼できるネットワーク認証情報を活用

Veatyは接続に成功するまで、これらのアプローチを一つずつ順番に試していきます。その手法の一つとして、C&Cのために特定のメールボックスを利用します。また、電子メールのルールを巧妙に設定することで、その通信を整理し、同時に隠蔽します。例えば、今回は「Prime Minister’s Office（首相府）」という件名を含む電子メールを探し出すルールを設けていました。現在進行中の活動を示す“Alive”メッセージと、命令を実行するための“Command”メッセージがあり、これらのメッセージは検知されるリスクを最小限に抑えるため、慎重にフォーマットされ、暗号化されています。

類似する別の攻撃では、Karkoffと呼ばれるマルウェアが、レバノンの政府機関に属する侵害された電子メールアドレスを使って通信を行っていました。これは、侵害されたイラク政府機関のメールアカウントを使用していたVeatyと非常によく似ています。

Spearalマルウェア：戦術的な補完
今回の攻撃で使用されたSpearalマルウェアは、イラン情報安全保障省（MOIS）と関連するマルウェアファミリー（Saitamaマルウェアなど）と多くの手口を共有しており、コマンド通信にDNSトンネリングを使用するなど、注目すべき類似点が複数あります。

これらのマルウェアファミリーはDNSトンネリングを利用してコマンドを送信するため、従来の検知メカニズムを回避することができます。この手法はヨルダン政府機関に対する攻撃でも確認されており、攻撃グループの地域的な焦点と攻撃方法における一貫したパターンを示しています。

　　　　　　　　　　　　　　　　　　バックドアマルウェアSpearalの感染経路

新たな脅威：CacheHttp.dll
今回の調査で、新たな亜種マルウェアであるCacheHttp.dllも発見されました。このCacheHttp.dllもイラク国内の同じ組織をターゲットにしていると思われます。このマルウェアは過去にあった脅威を進化させたもので、特定のウェブサーバーの活動を監視し、それに対応するように設計されています。CacheHttp.dllは特定のヘッダーについてのウェブリクエストを検査し、事前に定義されたパラメーターに基づいてコマンドを実行します。

脅威の防止と検知
古いマルウェア、アップデートされたマルウェア、そして新しいマルウェアが、政府や組織、企業に脅威を与え続けています。今回のイラクに対するイランの攻撃は、マルウェアがますます巧妙になり、検出が難しくなっていることを示しています。チェック・ポイントのセキュリティソリューションは、高度なマルウェアに対する強固な防御を提供します。Check Point Harmony Endpointは高度な脅威を検出し緩和することでデバイスを保護し、Check Point Threat Emulationは疑わしいファイルをサンドボックス化することで、システムに影響を及ぼす前に悪意のある動作を特定します。チェック・ポイントの侵入防止システム（IPS）は、ネットワークトラフィックをリアルタイムで監視し、潜在的な脅威をブロックします。また、アンチボット技術はマルウェアがC＆Cサーバーと通信するのを防ぎます。これらのソリューションを組み合わせることで、マルウェア攻撃を効果的に防止する多層防御が実現します。

今回の攻撃の包括的なレビューについては、チェック・ポイント・リサーチのレポート全文をご覧ください。

Check Pointのプロテクション：
- Harmony Endpoint
- - APT.Win.OilRig.F
- - APT.Win.OilRig.WA.G
- - APT.Win.OilRig.H

- Threat Emulation
- - APT.Wins.Oilrig.ta.B/C/D/E

- アンチボット
- - Backdoor.WIN32.CacheHttp.A/B/C
- - Backdoor.WIN32.Spearal.A/B/C/D/E/F

本プレスリリースは、米国時間2024年9月11日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。Check Point Software Technologiesは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp