### ZionSiphon、イスラエルの水インフラを標的に サイバーセキュリティ研究者は、イスラエルの水処理および淡水化システムを標的とするために特別に設計された新しいマルウェア「**ZionSiphon**」を特定しました。**Darktrace**の研究者は、このマルウェアに「**ZionSiphon**」というコードネームを付け、永続性、ローカル設定ファイルの改ざん、ローカルサブネット上の運用技術（OT）関連サービスのスキャンなどの機能を強調しました。**VirusTotal**によると、このサンプルの最初の検出は2025年6月29日に行われ、イランとイスラエルの間の「12日間の戦争」が報告された直後でした。 **Darktrace**は、このマルウェアが権限昇格、永続性、USB伝播、ICSスキャンと、塩素および圧力制御を標的とする破壊能力を組み合わせていると述べています。これは、世界中の産業運用技術に対する政治的に動機付けられた重要インフラ攻撃の増加傾向を浮き彫りにしています。 現在未完成の**ZionSiphon**は、特にイスラエルを標的とし、以下のIPv4アドレス範囲に焦点を当てています。 * 2.52.0[.]0 - 2.55.255[.]255 * 79.176.0[.]0 - 79.191.255[.]255 * 212.150.0[.]0 - 212.150.255[.]255 イラン、パレスチナ、イエメンを支持する政治的メッセージをエンコードしていることに加えて、マルウェアにはイスラエルの水および淡水化インフラに関連するイスラエル関連の文字列がターゲットリストに含まれています。また、それらが特定のシステム上で実行されていることを確認します。 起動後、**ZionSiphon**はローカルサブネット上のデバイスを特定してプローブし、Modbus、DNP3、S7commプロトコルを使用してプロトコル固有の通信を試みます。また、ローカル設定ファイルを変更し、塩素量と圧力に関連するパラメータを改ざんします。分析によると、Modbus指向の攻撃パスが最も開発されており、他の2つは部分的に機能するコードのみを含んでおり、マルウェアがまだ開発中であることを示唆しています。 マルウェアの重要な機能は、リムーバブルメディアを介して感染を伝播する能力です。ターゲット基準を満たさないホストでは、自己破壊シーケンスを開始して自身を削除します。 **Darktrace**は、ファイルに破壊、スキャン、伝播機能が含まれているものの、現在のサンプルは、報告されたIPが指定された範囲内にある場合でも、ターゲット国チェック機能を自身で満たすことができないように見えると指摘しています。これは、意図的な無効化、不正確な設定、または未完成の状態によるものである可能性があると示唆しています。 これらの制限にもかかわらず、コード構造は、脅威アクターがマルチプロトコルOT操作、運用ネットワーク内での永続性、および以前のICS標的キャンペーンに類似したリムーバブルメディア伝播技術を実験していることを示唆しています。 ### RoadK1ll：WebSocketベースのピボットインプラント **ZionSiphon**の発見と並行して、**Blackpoint Cyber**は、侵害されたネットワークへの信頼性の高いアクセスを維持し、通常のネットワークアクティビティに溶け込むように設計されたNode.jsベースのインプラント「**RoadK1ll**」を開示しました。 **RoadK1ll**は、攻撃者が制御するインフラストラクチャへのアウトバウンドWebSocket接続を確立するリバーストンネリングインプラントであり、その接続を使用してオンデマンドでTCPトラフィックを仲介します。 従来のリモートアクセス型トロイの木馬とは異なり、大規模なコマンドセットを持たず、被害者ホストでのインバウンドリスナーを必要としません。その唯一の機能は、単一の侵害されたマシンを制御可能なリレーポイント、アクセス増幅器に変換することであり、オペレーターは、外部から到達できない可能性のある内部システム、サービス、およびネットワークセグメントにピボットすることができます。 ### AngrySpark：VM難読化バックドア **Gen Digital**はまた、英国の単一マシンで観測された仮想マシン（VM）難読化バックドア「**AngrySpark**」を明らかにしました。このインプラントは2022年5月から2023年6月まで1年間動作し、インフラストラクチャが期限切れになったときに姿を消しました。活動の最終目標は不明のままです。 **Gen Digital**は、**AngrySpark**が3段階のシステムとして動作すると説明しました。タスクスケジューラを介してロードされるWindowsコンポーネントを装ったDLLは、レジストリから設定を復号化し、svchost.exeに位置独立型シェルコードを注入します。そのシェルコードは仮想マシンを実装します。 VMは25KBのバイトコード命令のブロブを処理し、実際のペイロード（マシンをプロファイリングし、PNG画像リクエストを装ってHTTPS経由で通信し、実行のために暗号化されたシェルコードを受信できるビーコン）をデコードして組み立てます。 その結果、ステルス性の高い永続性を確立し、ブロブを切り替えることで動作を変更し、検出を回避できるコマンドアンドコントロール（C2）チャネルをセットアップできるマルウェアが作成されます。 **Gen Digital**は、**AngrySpark**はモジュール式であるだけでなく、検出を回避するように慎重に設計されていると付け加えました。いくつかの設計上の選択は、クラスタリングを妨害し、インストルメンテーションをバイパスし、残されたフォレンジック残渣を制限することを特に目的としているようです。バイナリのPEメタデータは、ツールチェーンのフィンガープリンティングを混乱させるために意図的に変更されています。