Rapid7 が 5 月 5 日に公表した調査レポートを Bleeping Computer が 5 月 6 日に詳報したところによると、Chaos ランサムウェアによる典型的な暴露型攻撃に見えたインシデントが、イラン情報省 (MOIS) と関連する APT グループ MuddyWater (別名 Seedworm) による偽旗作戦だったことが判明しました。ランサムウェアは攻撃の本来の目的であるサイバー諜報を隠蔽する道具として用いられた形です。
主なポイント
- 侵入の起点は Microsoft Teams を使ったソーシャルエンジニアリングで、攻撃者は従業員に直接チャットを開始 ⇒ 画面共有でリアルタイム誘導しつつ認証情報と MFA トークンを奪取
- 一部ケースでは AnyDesk を植え付けて永続化。コードサイニング証明書と C2 インフラの一致から MuddyWater との関連を中程度の信頼度で認定
- ファイル暗号化が一部にとどまる「不完全なランサムウェア挙動」が攻撃を真の RaaS 案件と区別する鍵となった
- MuddyWater は 2025 年末にもイスラエル組織への攻撃で Qilin ランサムウェアを諜報の隠れ蓑に使った前例があり、今回も同じ TTP の延長線上にある
出典: MuddyWater hackers use Chaos ransomware as a decoy in attacks — BleepingComputer