概要
イラン政府が支援するAPTグループ「MuddyWater」(別名:Mango Sandstorm、Seedworm、Static Kitten)が2026年初頭、Microsoft Teamsを悪用したソーシャルエンジニアリングと偽旗作戦を組み合わせた高度なランサムウェア攻撃を展開していたことが、セキュリティ企業Rapid7の調査によって明らかになった。攻撃者が偽装したChaos RaaSグループは米国の建設・製造・ビジネスサービス業を主要な被害セクターとしていることが知られており、本キャンペーンでもMuddyWaterはIT部門のサポート担当者を装ってTeams経由でチャットを開始し、スクリーン共有セッションを通じてターゲットを巧みに誘導した。
このキャンペーンの特徴は、Chaos RaaS(ランサムウェア・アズ・ア・サービス)グループを模倣した「偽旗作戦」として展開されている点にある。表向きは金銭目的のランサムウェア攻撃に見せかけながら、実際にはイランの戦略的目的のためにデータ窃取を行うという二重の目的を持つ。研究者たちは「RaaSフレームワークを活用することで、国家支援活動と金銭目的サイバー犯罪の境界を曖昧にし、帰属分析を著しく複雑にする狙いがある」と指摘している。
攻撃の技術的手口
攻撃チェーンは、Microsoft TeamsのExternalチャット機能からIT部門を装った接触から始まる。攻撃者はスクリーン共有を要求し、対話形式で被害者を操作しながら認証情報をローカルのテキストファイルに入力させるよう誘導した。さらに、スクリーン共有を通じて多要素認証(MFA)の設定を不正に操作(manipulate)した。
初期アクセス確立後、攻撃者はDWAgentおよびAnyDeskを利用したリモートアクセスを設定し、以下のカスタムマルウェアを展開した:
- ms_upd.exe(Stagecomp):C2サーバーに接続して情報を収集するインフォスティーラー
- game.exe(Darkcomp):Microsoft WebView2に偽装したカスタムRAT(遠隔操作ツール)
- WebView2Loader.dll:正規のMicrosoftコンポーネント(偽装に利用)
- visualwincomp.txt:暗号化された設定ファイル
注目すべきは、Chaosランサムウェアのアーティファクトが展開されたにもかかわらず、実際のファイル暗号化が行われなかった点だ。研究者は「ランサムウェアは主要目的の達成手段ではなく、偽装のためのカモフラージュとして機能した」と分析している。最終的には標的組織からデータが窃取され、メール経由で身代金要求が送付された。
帰属分析と背景
MuddyWaterへの帰属を支持する主要な証拠は、「Donald Gay」名義のコード署名証明書だ。この証明書は過去にCastleLoaderのダウンローダーである「Fakeset」(同グループが使用するマルウェア)の署名にも使われており、マルウェアのコマンド体系もMuddyWaterの既知インフラと一致している。Check Pointの研究者らは、この作戦がイランの戦略的目的の追求であると評価しており、同グループは2020年以降、イスラエルや中東地域への破壊的攻撃を継続的に実施してきた実績がある。
この攻撃は、国家支援のサイバー作戦においてサイバー犯罪エコシステムを積極的に活用するという近年の傾向を如実に示している。研究者は「この手法により、攻撃者は内部開発コストを抑えながら、広範なツールキットと高い作戦上の柔軟性を得ることができる」と警告している。組織のコラボレーションツールを踏み台にした攻撃ベクターの増加と、ランサムウェアを偽装手段として利用する国家支援型攻撃の巧妙化は、従来の防御策の有効性を根底から問い直すものであり、Teams等の外部通信を経路とした不審なITサポート要求への警戒が急務とされている。