イランのチェイファーAPTがクウェートとサウジアラビアで航空輸送と政府を攻撃

研究者たちは、ハッカーグループであるCHAFER APTからのサイバー犯罪キャンペーンを発見しました。明らかにイラン政府にリンクしており、バックドアの拡散とデータの漏洩を目的とした航空輸送と政府の犠牲者を発見しました。

このグループは2014年から活動しており、以前は中東で情報収集業務を開始しました。攻撃は2018年に始まり、2019年に続き、電気通信、旅行産業など、クウェートとサウジアラビアを拠点とするいくつかの企業を標的にしています。

キャンペーンは、アトリビューションを困難にする「陸地での生活」ツールや、さまざまなハッキングツールやカスタムビルドのバックドアなど、いくつかのツールに基づいていました。

分析の主な結果

  • 航空輸送と政府が主要な目標でした
  • 攻撃者の活動は週末に発生しました
  • クウェート攻撃で、攻撃者のユーザーアカウントが作成されていることが判明しました
  • サウジアラビアの攻撃は、ソーシャルエンジニアリングを利用してユーザーを騙しました
  • 両方の攻撃者がデータの悪用と流出に集中

サイバー攻撃で指摘されている典型的な標的

イランのグループは、政治的目標やその他のセクターに向けたキャンペーンを実施することで知られているグループであり、そこから貴重なデータが流出する可能性があります。悪意のあるファイルやリンクを含む電子メールのシャーリングやその他のバックドアを含むさまざまな不正な手法を使用して、ターゲットデバイスにアクセスします。その後、特権やその他のアクティビティを簡単に昇格させて、ネットワーク上での完全な永続性を確保できます。

以前にも、このグループは中東をターゲットにしていました。ただし、これらの攻撃により、ハッカーはネットワークを危険にさらす新しい方法を試しました。クウェートの攻撃では、デバイス上にユーザーアカウントを作成し、ネットワーク、スキャン、資格情報の盗難などのさまざまな活動を行いました。この目的のために、MimikatzとCrackMapExecの2つのツールを使用しています。サウジアラビアの攻撃では、ハッカーはリモート管理ツールをインストールして実行するようにだましました。

これら2つは中東で発生する最新の攻撃の例ですが、この種の攻撃は世界中のどこでも発生する可能性があり、政府や航空輸送などの重要なインフラストラクチャは依然として非常に敏感な標的であることを理解することが重要です。