マディーウォーター
MuddyWaterは、少なくとも2017年から活動しているイランに関連したサイバースパイグループで、洗練されたphishing エクスプロイト技術を通じて、世界の政府、通信、防衛、エネルギー部門を標的としていることで知られている。
マディーウォーターの由来
STATIC KITTEN、Earth Vetala、MERCURY、Seedworm、Mango Sandstorm、TEMP.Zagrosとしても知られるMuddyWaterは、イランの情報セキュリティ省(MOIS)の一部であることが確認されている高度持続的脅威(APT)グループです。少なくとも2017年から活動しているMuddyWaterは、様々な洗練されたテクニックとmalware キャンペーンに利用し、サイバースパイ活動を専門としている。同グループは適応力に優れており、検知や防御を回避するために戦術やmalware 常に進化させている。
対象国
マディウォーターの被害者は世界各地に及び、特に中東、ユーラシア、中央アジアでは、トルコ、タジキスタン、オランダ、アゼルバイジャン、アルメニア、パキスタン、イラク、オマーン、サウジアラビア、アラブ首長国連邦、シリア、アフガニスタン、インド、ヨルダン、イスラエル、パレスチナ、トルクメニスタン、グルジア、マルタ、ドイツ、米国を主な標的としている。このような地理的多様性は、彼らの広範な国際スパイ活動を示している。
対象産業
MuddyWaterは、政府機関、軍事組織、テレコミュニケーション、学界、石油・ガス、航空、ヘルスケア、NGO、テクノロジー、金融サービス、ホスピタリティ、農業、エネルギー、製薬、不動産、航空宇宙、地方自治体など、多様なセクターに対して作戦を実施してきた。広範な標的は、国家インフラと情報統制に不可欠な部門への戦略的関心を示している。
既知の犠牲者
具体的な攻撃としては、中東の政治力学に対する持続的な関心を反映して、イスラエルの複数の学術機関に対する最近のキャンペーン(2025年)などが知られている。さらに、さまざまな国の政府機関、防衛機関、電気通信機関、エネルギー機関などが、グループの活動歴の中で繰り返し標的とされてきた。
マディーウォーターの攻撃方法
主に、標的型phishing (添付ファイルや悪意のあるリンク)、侵害されたサードパーティアカウント、Microsoft ExchangeやOffice製品の既知の脆弱性の悪用などを介して行われる。
MuddyWater は、ユーザーアカウント制御 (UAC) の仕組みを悪用し、DLL のサイドローディング技術を使用して昇格アクセスを行います。
Base64エンコーディング、ステガノグラフィ、CMSTP、Mshta、Rundll32などの正規ツール(LOLBins)の使用など、難読化手法を実装する。
Mimikatz、LaZagne、Browser64のようなクレデンシャルダンプツールを使用し、LSASSメモリ、ウェブブラウザ、電子メールクライアント、キャッシュされたドメインクレデンシャルからクレデンシャルを抽出する。
スクリプトとmalware 使用して、アカウントの列挙、ファイルとディレクトリのスキャン、セキュリティ製品を含むソフトウェアの検出を行う。
Remote Utilities、SimpleHelp、Atera Agent、ScreenConnectなどの正規のリモートアクセスソリューションを利用して、侵害されたネットワーク内を横方向に移動する。
スクリーンショットのキャプチャと、ネイティブユーティリティ(makecab.exe)を使用したデータの段階的アーカイブは、標準的なプラクティスです。
PowerShell、Windows Command Shell、VBScript、Python、JavaScript、およびリモートアクセスツールを使用して実行されるペイロードを展開します。
HTTP/DNSプロトコル上で暗号化・難読化された通信を使用し、コマンド・アンド・コントロール(C2)チャネル経由でデータを流出させる。
主な目標は、破壊的な攻撃ではなく、機密、戦略、機密情報の窃盗をもたらすサイバースパイ活動である。
主に、標的型phishing (添付ファイルや悪意のあるリンク)、侵害されたサードパーティアカウント、Microsoft ExchangeやOffice製品の既知の脆弱性の悪用などを介して行われる。
MuddyWater は、ユーザーアカウント制御 (UAC) の仕組みを悪用し、DLL のサイドローディング技術を使用して昇格アクセスを行います。
Base64エンコーディング、ステガノグラフィ、CMSTP、Mshta、Rundll32などの正規ツール(LOLBins)の使用など、難読化手法を実装する。
Mimikatz、LaZagne、Browser64のようなクレデンシャルダンプツールを使用し、LSASSメモリ、ウェブブラウザ、電子メールクライアント、キャッシュされたドメインクレデンシャルからクレデンシャルを抽出する。
スクリプトとmalware 使用して、アカウントの列挙、ファイルとディレクトリのスキャン、セキュリティ製品を含むソフトウェアの検出を行う。
Remote Utilities、SimpleHelp、Atera Agent、ScreenConnectなどの正規のリモートアクセスソリューションを利用して、侵害されたネットワーク内を横方向に移動する。
スクリーンショットのキャプチャと、ネイティブユーティリティ(makecab.exe)を使用したデータの段階的アーカイブは、標準的なプラクティスです。
PowerShell、Windows Command Shell、VBScript、Python、JavaScript、およびリモートアクセスツールを使用して実行されるペイロードを展開します。
HTTP/DNSプロトコル上で暗号化・難読化された通信を使用し、コマンド・アンド・コントロール(C2)チャネル経由でデータを流出させる。
主な目標は、破壊的な攻撃ではなく、機密、戦略、機密情報の窃盗をもたらすサイバースパイ活動である。
マディウォーターが使用したTTP
Vectra AIでMuddyWaterを検知 する方法
Vectra AI Platformで利用可能なAPT攻撃を示す検出のリスト。
よくあるご質問(FAQ)
MuddyWaterの背後には誰がいるのか?
MuddyWaterはイラン情報安全保障省(MOIS)に帰属する。
MuddyWaterの主な攻撃ベクトルは何か?
彼らは、悪意のある添付ファイルやリンクを含むphishing 使用し、一般に公開されている脆弱性を悪用する。
マディウォーターはどのように防御を回避するのか?
彼らは様々な難読化手法、正規ツール、ステガノグラフィ、DLLのサイドローディングを採用している。
MuddyWaterに関連するmalware ?
POWERSTATS、NTSTATS、CloudSTATS、PowGoop、Blackwater、ForeLord、MoriAgentなど。
MuddyWaterがターゲットにしている業界は?
電気通信、防衛、学術、石油・ガス、ヘルスケア、テクノロジー、NGO、政府機関など。
マディウォーターの活動を検知 できるツールは?
組織は、Vectra AIのような先進的なネットワーク検知・応答(NDR)ソリューションを活用すべきである。
MuddyWaterの攻撃を防御するために、組織は何ができるのか?
組織は、セキュリティ・パッチを迅速に適用し、phishing 認識をユーザーに教育し、多要素認証を実施し、ネットワーク・トラフィックとユーザー・アクティビティを注意深く監視すべきである。
MuddyWaterは脆弱性を利用しているのか?
そう、CVE-2020-0688(Microsoft Exchange)、CVE-2017-0199(Office)、CVE-2020-1472(Netlogon)といった脆弱性を悪用するのだ。
MuddyWaterはグローバルに展開しているのですか?
中東とアジアが主な活動地域だが、マディウォーターは北米とヨーロッパを含む世界中の事業体をターゲットにしている。
MuddyWaterの横の動きを、組織はどのように検知 できるのか?
組織は、Vectra AIなどの高度なネットワーク検知・応答(NDR)ソリューションを活用することで、MuddyWaterに関連する横の動きを効果的に検知 ことができます。Vectra AIは、人工知能と機械学習アルゴリズムを活用してネットワーク・トラフィックを継続的に監視し、不正なリモート・アクセス・ツールの使用、疑わしい内部接続、予期せぬクレデンシャルの使用パターンなどの異常な行動を迅速に特定します。リアルタイムの可視化と優先順位付けされた脅威アラートを提供することで、Vectra AIはセキュリティチームに、重大な被害が発生する前にMuddyWaterによる脅威を迅速に特定し、封じ込める力を与えます。