現代のC2通信の検知において、復号ではなく行動モデリングが必要な理由
ブログを読む
Vectra AI、2026年のガートナー「NDRマジック・クアドラント」においてリーダー企業の一つに選出
レポートを読む
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
主導のアクター

MuddyWater

  1. ステータス:
    アクティブ
  1. ステータス:
    アクティブ

MuddyWaterは、イランの国家情報保安省(MOIS)と関連を持つ、国家が支援するサイバー諜報グループであり、スピアフィッシングを通じて世界規模で情報収集を行っている。フィッシング、脆弱性の悪用、そしてますます高度化する独自のコマンド&コントロール(C&C)インフラを活用して、世界規模で情報収集を行っている。

MuddyWaterのTTPを検知する
MuddyWateの攻撃に対して安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくある質問 (FAQ)
脅威ブリーフィングを見る
背景
対象国
産業
被害者

MuddyWaterの起源

MuddyWater(STATIC KITTEN、 Earth Vetala、Seedworm、TA450、MERCURY、 Mango Sandstormなどの別名でも追跡されている)は、イラン情報保安省(MOIS)の指揮下で活動していると見られるサイバー諜報グループである。少なくとも2017年から活動を続けており、世界中の政府機関、学術機関、防衛機関、通信機関、エネルギー関連組織を対象に情報収集活動を行っている。

2026年の最新調査 によりオランダに拠点を置くVPS上にホストされたMuddyWaterの運用インフラが明らかになり、コマンド&コントロール(C2)フレームワーク、スクリプト、被害者データ、運用ログなど、広範な運用関連の痕跡が露見した。このインフラの分析により、MuddyWaterが独自開発した複数のC2フレームワークを運用しており、偵察、侵害、データ持ち出しの各作戦を支援するために、オープンソースツールの広範なエコシステムを活用していることが確認された。

このグループは、独自開発マルウェア 公開されているエクスプロイトコードおよび正規の管理ツールを組み合わせて、アクセス権を維持し、検知を回避するというハイブリッドな運用手法を採用している。最近の攻撃キャンペーンでは、ブロックチェーンを基盤としたコマンド&コントロール(C&C)メカニズムの実験も行われており、MuddyWaterの技術力が進化していることが浮き彫りになっている。

対象国

MuddyWaterの活動は、中東、ヨーロッパ、北米、中央アジアなど、複数の地域に及んでいます。最近の活動では、イスラエル、ヨルダン、エジプト、アラブ首長国連邦、ポルトガル、米国の組織が標的となっており、これに加え、トルコ、イラク、パキスタン、サウジアラビア、ドイツ、インド、アフガニスタン、アルメニアの組織に対する過去の活動も確認されています

対象業界

MuddyWaterは、政府、通信、防衛、学術機関、航空、医療、エネルギー、金融サービス、NGO、テクノロジー企業など、多岐にわたる分野の組織を標的としている。また、同グループは重要インフラや、移民、諜報、身分証明システムに関わる組織も標的としており、情報収集に重点を置いていることがうかがえる。

Energy and Utilities

Financial Services and Banking

Pharmaceuticals and Medical Devices

Real Estate

Federal

Healthcare

既知の犠牲者

最近の作戦では、以下の標的が特定された:

  • イスラエルの医療機関、ホスティング事業者、および移民関連サービス
  • ヨルダン政府のウェブメール基盤
  • アラブ首長国連邦のエンジニアリングおよびエネルギー企業
  • エジプト航空を含むエジプトの航空関連組織
  • イスラエルおよびユダヤ人コミュニティと関係のあるNGO
  • ポルトガル政府が関与する移民制度

この標的選定は、地政学的、外交的、および地域的な戦略的利益を含む、イラン情報機関の優先事項と密接に一致している。

攻撃方法

MuddyWaterの攻撃方法

初期アクセス
権限昇格
粘り強さと防御回避
クレデンシャル・アクセス
ディスカバリー
ラテラルムーブ
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

MuddyWaterは、フィッシング 、一般公開されているアプリケーションの悪用、パスワードスプレー攻撃、および脆弱性の悪用を通じて侵入を図っています。最近の攻撃キャンペーンでは、Fortinet、Ivanti、Citrix、BeyondTrust、SolarWinds N-Centralの脆弱性に加え、WebアプリケーションのSQLインジェクション脆弱性が悪用されました。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

このグループは、UACの回避、エッジデバイスの脆弱性の悪用、管理者アカウントの作成といった手法を用いて頻繁に権限を昇格させており、その中には、攻撃の過程でFortiGateの管理者アカウントを永続的に作成することも含まれる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

防御回避の手法には、コードの難読化、ペイロードの暗号化、ステガノグラフィー、および正当なサービスへの偽装が含まれます。また、MuddyWaterは、侵害されたウェブサイト、プロキシネットワーク、およびブロックチェーンベースのC2解決といった分散型インフラストラクチャの背後にC2インフラを隠蔽しています。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

認証情報の窃取は、Mimikatz、LaZagne、Browser64 といったツールや、Outlook Web Access および SMTP サービスを標的としたパスワードスプレー攻撃を用いて行われます。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

マルウェア MuddyWaterによって展開されたマルウェアは、システム情報、ドメインの所属、実行中のプロセス、セキュリティソフトウェアの有無、およびネットワーク構成を収集し、被害者の環境を把握する。

相互接続された一連のノードと、その間をひそかに移動する影のような姿。これはネットワーク内を移動する攻撃者の動きを示しており、追加システムの制御獲得や拡散を企てている。 マルウェア。

このグループは、ScreenConnect、Atera Agent、SimpleHelp、Remote Utilitiesなどのリモート監視・管理(RMM)ツールを多用し、侵害された環境内で横方向の移動を行っている。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

侵害されたシステムからは、文書、認証情報データベース、スクリーンショット、ローカルに保存されたファイルなどの機密情報が収集されています。最近の攻撃キャンペーンでは、パスポートのスキャン画像、ビザの記録、財務書類、生体認証システムの設定情報などがデータに含まれていました。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

ペイロードの実行は通常、PowerShell、Windows コマンド シェル、JavaScript、Python、および Visual Basic スクリプトを使用して行われ、多くの場合、mshta、rundll32、または CMSTP といった正規のシステムユーティリティを介して実行されます。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

データの流出は、以下のようないくつかのメカニズムを通じて発生します:

  • カスタムC2チャンネル
  • Wasabi S3 や put.ioなどのクラウドストレージプラットフォーム
  • Amazon EC2 サーバー
  • 軽量なHTTPファイルサーバー
  • HTTP、DNS、およびWebSocketsを利用したコマンド&コントロール通信経路
ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

MuddyWaterの活動は主に秘密裏の情報収集に重点を置いており、盗み出されたデータには、政府の通信記録、個人の身分証明書、組織の記録、および内部通信などが含まれている。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

MuddyWaterは、フィッシング 、一般公開されているアプリケーションの悪用、パスワードスプレー攻撃、および脆弱性の悪用を通じて侵入を図っています。最近の攻撃キャンペーンでは、Fortinet、Ivanti、Citrix、BeyondTrust、SolarWinds N-Centralの脆弱性に加え、WebアプリケーションのSQLインジェクション脆弱性が悪用されました。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
権限昇格

このグループは、UACの回避、エッジデバイスの脆弱性の悪用、管理者アカウントの作成といった手法を用いて頻繁に権限を昇格させており、その中には、攻撃の過程でFortiGateの管理者アカウントを永続的に作成することも含まれる。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

防御回避の手法には、コードの難読化、ペイロードの暗号化、ステガノグラフィー、および正当なサービスへの偽装が含まれます。また、MuddyWaterは、侵害されたウェブサイト、プロキシネットワーク、およびブロックチェーンベースのC2解決といった分散型インフラストラクチャの背後にC2インフラを隠蔽しています。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

認証情報の窃取は、Mimikatz、LaZagne、Browser64 といったツールや、Outlook Web Access および SMTP サービスを標的としたパスワードスプレー攻撃を用いて行われます。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

マルウェア MuddyWaterによって展開されたマルウェアは、システム情報、ドメインの所属、実行中のプロセス、セキュリティソフトウェアの有無、およびネットワーク構成を収集し、被害者の環境を把握する。

相互接続された一連のノードと、その間をひそかに移動する影のような姿。これはネットワーク内を移動する攻撃者の動きを示しており、追加システムの制御獲得や拡散を企てている。 マルウェア。
ラテラルムーブ

このグループは、ScreenConnect、Atera Agent、SimpleHelp、Remote Utilitiesなどのリモート監視・管理(RMM)ツールを多用し、侵害された環境内で横方向の移動を行っている。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

侵害されたシステムからは、文書、認証情報データベース、スクリーンショット、ローカルに保存されたファイルなどの機密情報が収集されています。最近の攻撃キャンペーンでは、パスポートのスキャン画像、ビザの記録、財務書類、生体認証システムの設定情報などがデータに含まれていました。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

ペイロードの実行は通常、PowerShell、Windows コマンド シェル、JavaScript、Python、および Visual Basic スクリプトを使用して行われ、多くの場合、mshta、rundll32、または CMSTP といった正規のシステムユーティリティを介して実行されます。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

データの流出は、以下のようないくつかのメカニズムを通じて発生します:

  • カスタムC2チャンネル
  • Wasabi S3 や put.ioなどのクラウドストレージプラットフォーム
  • Amazon EC2 サーバー
  • 軽量なHTTPファイルサーバー
  • HTTP、DNS、およびWebSocketsを利用したコマンド&コントロール通信経路
ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

MuddyWaterの活動は主に秘密裏の情報収集に重点を置いており、盗み出されたデータには、政府の通信記録、個人の身分証明書、組織の記録、および内部通信などが含まれている。

MITRE ATT&CK マッピング

MuddyWaterが使用するTTP

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1203
Exploitation for Client Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1574
Hijack Execution Flow
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1548
Abuse Elevation Control Mechanism
T1574
Hijack Execution Flow
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1548
Abuse Elevation Control Mechanism
T1036
Masquerading
T1027
Obfuscated Files or Information
T1574
Hijack Execution Flow
TA0006: Credential Access
T1555
Credentials from Password Stores
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
TA0008: Lateral Movement
T1210
Exploitation of Remote Services
TA0009: Collection
T1113
Screen Capture
TA0011: Command and Control
T1071
Application Layer Protocol
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
プラットフォーム検知

Vectra AIで検知する方法

Vectra AI プラットフォームで利用可能なAPT攻撃を示す検出のリスト。

External Remote Access

Hidden DNS Tunnel

Suspicious Remote Execution

もっと見る
攻撃の危険性を評価する

MuddyWateの攻撃に対して安全ですか?

攻撃の危険性を評価する

よくある質問 (FAQ)

MuddyWaterの背後には誰がいるのか?

MuddyWaterの主な攻撃ベクトルは何か?

MuddyWaterはどのように防御を回避するのか?

どの マルウェア ツールがMuddyWaterに関連付けられていますか?

MuddyWaterがターゲットにしている業界は?

MuddyWaterの活動を検知 できるツールは?

MuddyWaterの攻撃を防御するために、組織は何ができるのか?

MuddyWaterは脆弱性を利用しているのか?

MuddyWaterはグローバルに展開しているのですか?

MuddyWaterのラテラルムーブを、組織はどのように検知 できるのか?