FBIが緊急警告:TelegramがC2インフラに悪用されるイラン系サイバー攻撃
米連邦捜査局(FBI)は3月23日、イランの情報省(MOIS)と連携するハッカーグループが、マルウェア攻撃のコマンド&コントロール(C2)インフラとしてメッセージングアプリ「Telegram」を悪用していると警告を発した。
攻撃の概要
FBIのフラッシュアラートによると、このTelegramを利用したC2インフラは、イラン政府を批判するジャーナリスト、イラン反体制派、および世界各地の反政府組織を標的としたWindowsマルウェアに組み込まれているという。
攻撃者はソーシャルエンジニアリングの手口で標的のデバイスにマルウェアを感染させ、スクリーンショットやファイルの窃取(exfiltration)を実行する。感染後の被害はスパイ活動による情報収集、データ漏洩、そして標的組織の評判失墜に及んでいる。
関与が疑われる脅威アクター
FBIは以下の2グループを今回の攻撃に関与するとして特定した:
- Handalaハクティビストグループ(別名:Handala Hack Team、Hatef、Hamsa):イランと連携する親パレスチナのハクティビスト集団
- Homeland Justice:イラン・イスラム革命防衛隊(IRGC)と紐付けられた国家支援型の脅威アクター
押収されたドメインとStryker攻撃との関連
今回の警告は、FBIが4つのドメイン(handala-redwanted[.]to、handala-hack[.]to、justicehomeland[.]org、karmabelow80[.]org)を押収した翌日に公表された。これらのサイトはHandala、Homeland Justice、および「Karma Below」という第三の脅威アクターが米国内外の被害者から盗んだ機密文書やデータの漏洩に利用していた。
一連の動きの背景には、Handalaによる米国医療大手Stryker社への大規模サイバー攻撃がある。攻撃者はWindowsドメイン管理者アカウントを侵害して新たなグローバル管理者アカウントを作成、Microsoft Intuneのワイプコマンドを悪用して社員の個人PCやモバイルデバイスを含む約8万台のデバイスを工場出荷状態にリセットするという壊滅的な被害をもたらした。
ロシア系攻撃との並行性
同週、FBIはロシア情報機関と連携した脅威アクターによるSignalおよびWhatsAppユーザーを標的にしたフィッシングキャンペーンについても警告を発しており、すでに数千件のアカウント侵害が確認されている。標的は現・元米政府高官、軍関係者、政治家、ジャーナリストなど「高い諜報価値を持つ個人」とされている。
防御のポイント
FBIは中東の地政学的緊張の高まりを背景に、この種の攻撃が今後も継続・拡大する可能性を示唆。ネットワーク防御担当者に対し、不審なTelegramとの通信のモニタリングや多要素認証(MFA)の徹底など、具体的な緩和策の実施を促している。
日本国内でも反政府的・政治的な活動を行う組織や研究者、ジャーナリストがターゲットになり得るため、同様の脅威インテリジェンスに注視することが求められる。