中東紛争を悪用したサイバー攻撃が急増、偽サイトやマルウェアなど8つの手口

Zscalerは3月6日(米国時間)、「Middle East Conflict Fuels Cyber Attacks | ThreatLabz」において、中東情勢に便乗したサイバー攻撃が増えているとして、注意を喚起した。

米国およびイスラエルと、イランとの間で勃発した紛争をテーマに被害者を誘導し、さまざまなサイバー攻撃を実行したと報告されている。

中東紛争を悪用した8つのサイバー攻撃

Zscalerは最近特定した8つのサイバー攻撃について解説。いずれも中東情勢を悪用する手口で、被害者の誘導など、サイバー攻撃に利用したことが明らかになった。各サイバー攻撃キャンペーンの概要は次のとおり。

攻撃者は紛争に関連するファイルを含むZIPアーカイブを配布。アーカイブにはLNKファイルが含まれており、実行すると悪意のあるCompiled HTML Help(CHM)ファイルがダウンロード、実行される。

このとき、ミサイルの被害写真を貼り付けたPDFファイルを表示してユーザーの注意を逸らし、バックグラウンドで攻撃を継続。いくつかの処理を経て、最終的にシェルコードローダーを実行する。Zscalerはシェルコードローダーの分析を完了しておらず、後続のマルウェア本体は特定されていない。

攻撃者は正規の音楽ソフトウェア名を「イラン、ペルシャ湾地域全域で米軍施設を攻撃.exe(Iran Strikes U.S. Military Facilities Across Gulf Region.exe)」に変更し、関連ファイルと共にZIPファイルに圧縮して配布した。

ZIPファイルを展開すると、イラン核合意の包括的共同作業計画(JCPOA: Joint Comprehensive Plan of Action)を想起させるディレクトリ名「JCPOA」が作成される。内部に前述の実行可能ファイルが含まれており、実行するとバックドア「LOTUSLITE」に感染する。

紛争をテーマにしたフェイクニュースサイト「goldman-iran-krieg[.]pages[.]dev」が発見された。Webサイトにアクセスするとパスワードで保護されたZIPファイルがダウンロードされる。

Webサイトにはパスワードが記載されており、誰でも展開できるようになっている。アーカイブには情報窃取マルウェア「StealC」が含まれる。

米国社会保障ポータルサイトに偽装したWebサイト「cfgomma[.]com」が発見された。被害者が書類をダウンロードすると、正規のリモート監視および管理(RMM: Remote Monitoring and Management)ツールの「PDQConnect」がダウンロードされる。

被害者がRMMツールをインストールすると、攻撃者は標的環境へのリモートアクセスが可能になる。この攻撃ではデータ窃取や、追加のサイバー攻撃の実行が予想されている。

イスラエルの高速道路6号線(Kvish 6)の通行料支払いサイトを偽装したWebサイト「017[.]65c[.]mytemp[.]website」が発見された。被害者に罰金の支払い情報を入力させて窃取する。

紛争に関連する人道支援の詐欺キャンペーンが特定された。詐欺師は支援を募り、Google Pay(GPay)や、不審な暗号資産ウォレットによる送金を求める。

紛争をテーマにした偽の通販サイト「nowarwithiran[.]store」が発見された。衣料品、アクセサリー、限定商品を宣伝および販売している。購入を試みると、個人情報、支払い情報(クレジットカード情報など)を窃取されるリスクがある。

紛争をテーマにした暗号資産の詐欺サイト「khameneisol[.]xyz」が発見された。いわゆるポンプ・アンド・ダンプ手法を用いる詐欺サイト。紛争をテーマにミームコイン「KHAMENEI(ハメネイ)」を販売し、価値がピークに達した段階で売り抜けて、顧客に無価値な暗号資産を残すという。

Zscalerは同様の攻撃の意図があると想定される8000以上の新規ドメインも特定している。本稿執筆時点で、その多くは攻撃に悪用されておらず、今後のサイバー攻撃に用いられる可能性がある。

中東情勢の緊張が高まる中、サイバー犯罪者は状況を最大限に悪用している。このようなサイバー攻撃から自身および組織を守るため、同社はサイバーセキュリティのベストプラクティスを再確認し、強化するように推奨している。