イラン国家支援の攻撃者である**MuddyWater**が、**Chaos**ランサムウェア攻撃を装って活動を偽装していることが確認されました。このグループは、**Microsoft Teams**のソーシャルエンジニアリングに依存して初期アクセスを獲得し、侵害されたシステム内での持続性を確立していました。 ### 偽装ランサムウェア この攻撃には、認証情報窃取、持続性、リモートアクセス、データ漏洩、恐喝メール、さらには**Chaos**のリークサイトへの掲載が含まれていましたが、調査員は、使用されたインフラストラクチャと技術が、以前の**MuddyWater**キャンペーンと一致していると判断しました。 **Rapid7**の研究者らは、ランサムウェアコンポーネントは、真の目的であるサイバー諜報活動を曖昧にし、帰属努力を複雑にするために戦略的に展開されたと考えています。 「この戦略は、国家支援の侵入活動と犯罪者の手口の収束を浮き彫りにしています。大きな「兆候」は、展開された技術、そして展開されなかった技術にあります。この戦略は、主な目的が金銭的利益ではなかったことを示唆しています」と**Rapid7**は[説明しています](https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/)。 偽装にもかかわらず、**Rapid7**は、Static Kitten、Mango Sandstorm、Seedwormとしても知られる脅威グループである**MuddyWater**にこのインシデントを帰属させることに中程度の確信を表明しています。この帰属は、重複するインフラストラクチャ、以前にグループがStagecompおよびDarkcompマルウェアに署名するために使用した特定のコード署名証明書、および共有された運用戦術、技術、手順（TTPs）に基づいています。 **MuddyWater**は、イラン情報保安省（MOIS）の目標と一致することが多い、長期的なネットワーク侵入キャンペーンの実施で知られています。 **Chaos**は2025年に登場したランサムウェア・アズ・ア・サービス（RaaS）事業であり、そのビッグゲームハンティング戦術、二重恐喝手法、および主に米国の一部の組織を標的としたソーシャルエンジニアリングキャンペーンで知られています。 ### 攻撃の進行 **Rapid7**が調査した侵入は、**Microsoft Teams**を介したソーシャルエンジニアリングから始まりました。攻撃者は従業員とチャットを開始し、画面共有セッションを確立し、認証情報を収集し、多要素認証（MFA）設定を操作し、場合によってはリモートアクセスに**AnyDesk**を展開しました。 認証情報の窃取は、**Microsoft** Quick Assistを装ったフィッシングページを介して、または被害者をローカルテキストファイルにパスワードを入力するように誘導することによって行われました。 アカウントを侵害した後、攻撃者はドメインコントローラーを含む内部システムに認証し、RDP、DWAgent、および**AnyDesk**を使用して持続性を確立しました。 次に、**Microsoft WebView2**アプリケーションを装ったカスタムバックドア（Game.exe）をドロップするためにマルウェアローダー（ms_upd.exe）を展開しました。このマルウェアは、アンチ分析およびアンチVMチェックを備え、**PowerShell**およびCMDコマンド実行、ファイルアップロードおよび削除、永続的なシェルアクセスを含む12のコマンドをサポートしていました。  **Rapid7**は、**MuddyWater**がサイバー諜報活動を隠蔽するためにランサムウェアを使用する履歴があることを指摘しています。2025年後半、この攻撃者はイスラエルの組織に対する攻撃で**Qilin**ランサムウェアを展開しました。 研究者らは、2025年後半の攻撃がMOIS工作員に帰属した後、脅威グループが異なるランサムウェア「ブランド」に移行した可能性があると示唆しています。 ## [Mythosが見つけたものの99%はまだパッチが適用されていません。](https://hubs.li/Q04crVgD0) AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ます。 Autonomous Validation Summit（5月12日および14日）で、コンテキストリッチな自律検証が、悪用可能なものをどのように見つけ、制御が有効であることを証明し、修正ループを閉じるかをご覧ください。 [参加登録はこちら](https://hubs.li/Q04crVgD0)