サイバーセキュリティ · 1 min read · Dec 02, 2025

マディ・ウォーター、ハッカーグループが侵害された企業メールを使用してフィッシングメッセージを送信

フィッシングメール

Deep Instinctsの研究者たちは、イランの情報省および治安機関に関連付けられているハッカーグループ「マディ・ウォーター」が、侵害された企業メールを使用してターゲットにフィッシングメッセージを送信していることを発見しました。

Deep Instinctsによると、マディ・ウォーターグループはこの新しい戦術をキャンペーンに適用しており、これは9月に始まった可能性がありますが、10月にのみ注目され、正規のリモート管理ソフトウェアも使用されています。

Deep Instinctsの研究者たちは、マディ・ウォーターが2020年から2021年の以前のキャンペーンでもリモート管理ツールを使用していたことを指摘しています。これらはRemote UtilitiesおよびScreenConnectに依存していました。

異なるキャンペーンでは、同じ戦術が使用されましたが、Atera Agentに切り替えられました! (これは、監視したいコンピュータやサーバーを監視するためのシステムです)と、Deep Instinctsの研究者であるサイモン・ケニンによって発見されました。

これに加えて、セキュリティ会社の研究者たちは、マディ・ウォーターによる新しいキャンペーンを10月に発見しました。このキャンペーンでは、グループがSyncroを使用しました(これは、マネージドサービスプロバイダー向けのソフトウェアです)。

サイモン・ケニンは報告の中で、最初のフィッシングメールは実際にハッカーによって侵害された正当な企業メールアカウントから送信されたと述べています。

マディ・ウォーターキャンペーンの概要

研究者はさらに、ハッカーグループが送信したフィッシングメールには企業の署名が存在しなかったと付け加えました。しかし、ターゲットは、彼らが知っている企業の正当なアドレスから送信されたため、メールを正当なものとして信頼しました。

ハッカーグループの他のターゲットの中には、2つのエジプトのホスティング会社がありました。そのうちの1つは侵害され、フィッシングメールを送信するために使用され、もう1つは悪意のあるメールを受信しました。これは、受信者が企業を知っているため、信頼を得るための知られた方法の1つです。

セキュリティソフトウェア/ツールに検出されるリスクを最小限に抑えるために、ハッカーグループはSyncro MSIインストーラーをダウンロードするリンクを含むHTMLファイルを添付しました。

さらに、添付ファイルはアーカイブや実行可能ファイルではなく、HTMLはフィッシングトレーニングやシミュレーションで見落とされがちであるため、ユーザーを疑わせることはありませんとDeep Instinctsは付け加えました。

読む: 脅威アクターがテレコムサービスプロバイダーをターゲットにし、検出された際に防御方法を変更

サービスはMicrosoft OneDriveファイルストレージでホストされており、前のメールはエジプトのホスティング会社の侵害されたメールアカウントから送信され、SyncroインストーラーはDropboxに保存されていました。

ケニンによると、ハッカーグループが使用したほとんどのSyncroインストーラーは、以前のハッキングキャンペーンで使用されたOneHubのDriveクラウドストレージにホストされていました。

ここで注目すべき点は、SyncroインストーラーがLunaMothなどの脅威アクターによっても使用されていることです。さらに、Syncroインストーラーは21日間のトライアルがあり、完全なWebインターフェースを提供し、Syncroエージェントがインストールされたコンピュータを完全に制御できます。

Syncroエージェントがターゲット/被害者のコンピュータにインストールされると、脅威アクターはそれを使用してバックドアを設置し、持続性を開始し、データを盗むことができます。

このキャンペーンにおけるマディ・ウォーターグループの他のターゲットには、イスラエルの複数の保険会社が含まれており、脅威アクターは同じ戦術、すなわちイスラエルのホスピタリティ業界の企業のメールアカウントをハッキングし、そのハッキングされたメールアカウントからフィッシングメールを送信しました。

保険のように見せるために、ハッカーグループはOneDriveにホストされたSyncroインストーラーへのHTML添付リンクを追加しました。

フィッシングメールはヘブライ語(イスラエルの国語)で書かれていました。つまり、マディ・ウォーターの手法は現代的ではありません。しかし、自由に利用可能なソフトウェア/ツールは、ハッキングの実践において効果的な方法となる可能性があります。

マディ・ウォーターのフィッシングメール、イスラエルの保険会社向け

脅威アクターは、Static Kiten、Cobalt Ulster、Mercuryなどの異なる名前を使用しています。彼らは2017年から活動しています。

読む: インターネットを失ったときに何をすべきか: 基本的なインターネット接続のトラブルシューティング

Share: X/Twitter LinkedIn
#サイバーセキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。