イランとつながりのあるAPTグループである**MuddyWater**は、世界中の多様な組織を標的とした広範なサイバー諜報活動に積極的に関与しています。被害者には、韓国の大手電子機器メーカー、政府機関、中東の国際空港、アジアの産業メーカー、教育機関などが含まれます。 **Symantec**の研究者によると、攻撃者は2026年2月に約1週間にわたり、韓国の大手電子機器メーカーのネットワークへのアクセスを維持していました。グループの目的は、産業および知的財産の窃取、政府諜報活動、および下流の顧客や企業ネットワークへのアクセス獲得に焦点を当てた、インテリジェンス主導のものであるようです。 ### FortemediaとSentinelOneの悪用 Seedwormのキャンペーンは、正規の署名済みソフトウェアを操作して悪意のあるDLLをロードする技術であるDLLサイドローディングに大きく依存しています。これにより、攻撃者はセキュリティ対策を回避し、信頼されたプロセス内でコードを実行できます。 このキャンペーンで悪用された2つの正規バイナリは、**Fortemedia**の正規オーディオユーティリティである「fmapp.exe」と、**SentinelOne**のコンポーネントである「sentinelmemoryscanner.exe」です。悪意のあるDLL（fmapp.dllおよびsentinelagentcore.dll）には、Chromeベースのブラウザに保存されているデータを窃取するために設計された、容易に入手可能なポストエクスプロイトツールである**ChromElevator**が含まれていました。 **Symantec**はまた、以前のSeedworm攻撃と一致するPowerShellの使用継続を観察しました。しかし、最近のインシデントでは、PowerShellペイロードは直接実行ではなく、Node.jsローダーを通じて制御されています。PowerShellは、スクリーンショットのキャプチャ、偵察、追加ペイロードの取得、永続性の確立、認証情報の窃取、SOCKS5トンネルの作成など、さまざまな悪意のあるアクティビティに使用されます。 ### 韓国企業への攻撃 **Symantec**の分析によると、韓国の電子機器メーカーへの攻撃は2月20日から27日まで行われました。標的となった組織の名前は明らかにされていません。 攻撃の初期段階では、ホストとドメインの偵察、WMIを介したアンチウイルス列挙、スクリーンショットのキャプチャ、および追加マルウェアの展開が行われました。認証情報の窃取は、偽のWindowsプロンプト、レジストリハイブの窃取（SAM/SECURITY/SYSTEM）、およびKerberosチケット悪用ツールの使用によって達成されました。 永続性はレジストリの変更によって確立され、ビーコンは90秒間隔で発生しました。サイドロードされたバイナリは、永続的なアクセスを維持するために繰り返し再起動されました。 「このペースは、継続的なオペレーターの存在というよりも、インプラント駆動のアクティビティと再び一致しています」と研究者は述べています。 攻撃者は、悪意のあるアクティビティを曖昧にし、通常のネットワークトラフィックに紛れ込ませるために、公開ファイル共有サービスであるsendit.shをデータ流出に使用しました。 全体として、**Symantec**は、最新のSeedwormキャンペーンは、その地理的拡大、運用の成熟度、および正規のツールとサービスの悪用が注目に値し、よりステルスで洗練された攻撃手法への移行を示していると強調しています。  ## Mythosが発見したものの99%はまだパッチが適用されていません。 AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ます。 Autonomous Validation Summit（5月12日および14日）で、自律的でコンテキストリッチな検証が、エクスプロイト可能なものをどのように発見し、コントロールが保持されていることを証明し、修正ループを閉じるかをご覧ください。 [参加登録はこちら](https://hubs.li/Q04crVgD0)