C
月内に
イラン政府支援の攻撃グループ「MuddyWater」が、ランサムウェア組織(Chaos)に偽装して情報窃取攻撃を行っていること
📌 一言でいうと
イラン政府支援の攻撃グループ「MuddyWater」が、ランサムウェア組織(Chaos)に偽装して情報窃取攻撃を行っていることが判明しました。攻撃者はMicrosoft TeamsでITサポートを装い、画面共有やMFA情報の入力を誘導してAnyDeskなどのリモート管理ツールをインストールさせ、内部ネットワークへ侵入します。実際にはファイルの暗号化ではなく、データの窃取と潜伏を目的としており、追跡を逃れるために商用ツールや偽装工作を組み合わせています。
🔍該当判定
- Microsoft Teamsで、社外の人(外部ユーザー)からのチャットや画面共有の依頼を受け付ける設定になっている
- AnyDeskなどのリモートデスクトップ・遠隔操作ツールを業務で利用している
- ITサポート担当者を名乗る人物から、チャットやメールでMFA(多要素認証)の承認やパスワード入力を求められたことがある
- 社外の人間から、サポート目的で特定のソフトウェアのインストールを指示されたことがある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
ITサポートを装った外部からのチャットや画面共有要求を禁止し、不審なMFA要求やリモートツールインストール要求を即座に報告する体制を構築すること。また、不審なコード署名証明書(例:Donald Gay)を持つバイナリの実行を監視すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ITサポートを装った不審な連絡への注意について
お疲れさまです。情報システム担当です。
現在、ITサポート担当者を装い、Microsoft Teamsなどで画面共有やパスワードの入力を求める巧妙な攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知らない相手や、不自然なタイミングでITサポートを名乗る人物から連絡があった場合、絶対に画面共有やパスワードの入力をしないでください。
2. 「AnyDesk」などのリモート操作ソフトのインストールを指示された場合は、すぐにインストールを中断し、社内のセキュリティ担当へ報告してください。
3. 心当たりのない多要素認証(MFA)の承認リクエストが届いた場合は、絶対に承認せず、すぐに報告してください。
対応期限: 本日中(周知徹底をお願いします)
お疲れさまです。情報システム担当です。
現在、ITサポート担当者を装い、Microsoft Teamsなどで画面共有やパスワードの入力を求める巧妙な攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知らない相手や、不自然なタイミングでITサポートを名乗る人物から連絡があった場合、絶対に画面共有やパスワードの入力をしないでください。
2. 「AnyDesk」などのリモート操作ソフトのインストールを指示された場合は、すぐにインストールを中断し、社内のセキュリティ担当へ報告してください。
3. 心当たりのない多要素認証(MFA)の承認リクエストが届いた場合は、絶対に承認せず、すぐに報告してください。
対応期限: 本日中(周知徹底をお願いします)
Subject: [Security Alert] Beware of Impersonation Attacks via IT Support
Dear Employees,
We have detected sophisticated attacks where threat actors impersonate IT support staff via Microsoft Teams to steal credentials and access internal systems.
Requested Actions:
1. Do not share your screen or provide passwords/MFA codes to anyone contacting you unexpectedly, even if they claim to be from IT support.
2. If you are asked to install remote management software (e.g., AnyDesk), stop immediately and report it to the security team.
3. Never approve Multi-Factor Authentication (MFA) requests that you did not initiate.
Deadline: Immediate
Dear Employees,
We have detected sophisticated attacks where threat actors impersonate IT support staff via Microsoft Teams to steal credentials and access internal systems.
Requested Actions:
1. Do not share your screen or provide passwords/MFA codes to anyone contacting you unexpectedly, even if they claim to be from IT support.
2. If you are asked to install remote management software (e.g., AnyDesk), stop immediately and report it to the security team.
3. Never approve Multi-Factor Authentication (MFA) requests that you did not initiate.
Deadline: Immediate
件名: 【共有】MuddyWaterによるランサムウェア偽装攻撃への対応について
お疲れさまです。MuddyWaterによる最新の攻撃手法に関する情報共有です。
■ 概要
イラン系APTグループMuddyWaterが、Chaosランサムウェアを装い、Microsoft Teamsでのソーシャルエンジニアリングを通じて内部侵入を試みる事例が報告されています。目的は暗号化ではなく、データ窃取および永続性の確保です。
■ 影響範囲
- Microsoft Teamsを利用している全ユーザー
- AnyDesk等のリモート管理ツールを許可している環境
■ 対応手順
1. Teamsの外部チャット設定および権限の見直しを行い、不審な外部ユーザーからのアプローチを制限する。
2. AnyDesk等のリモート管理ツールの実行ログを監視し、未承認のインストールや通信がないか確認する。
3. 「Donald Gay」名義のコード署名証明書が付与された不審なファイルの実行を検知・ブロックする設定を検討する。
■ 参考情報
- Rapid7 Analysis Report
対応優先度: 高
対応期限: 速やかに確認・設定変更を推奨
お疲れさまです。MuddyWaterによる最新の攻撃手法に関する情報共有です。
■ 概要
イラン系APTグループMuddyWaterが、Chaosランサムウェアを装い、Microsoft Teamsでのソーシャルエンジニアリングを通じて内部侵入を試みる事例が報告されています。目的は暗号化ではなく、データ窃取および永続性の確保です。
■ 影響範囲
- Microsoft Teamsを利用している全ユーザー
- AnyDesk等のリモート管理ツールを許可している環境
■ 対応手順
1. Teamsの外部チャット設定および権限の見直しを行い、不審な外部ユーザーからのアプローチを制限する。
2. AnyDesk等のリモート管理ツールの実行ログを監視し、未承認のインストールや通信がないか確認する。
3. 「Donald Gay」名義のコード署名証明書が付与された不審なファイルの実行を検知・ブロックする設定を検討する。
■ 参考情報
- Rapid7 Analysis Report
対応優先度: 高
対応期限: 速やかに確認・設定変更を推奨
Subject: [Threat Intel] MuddyWater Masquerading as Ransomware Group
Dear Security Team,
This is a technical update regarding the Iranian APT group MuddyWater's recent tactics.
■ Overview
MuddyWater is utilizing a ransomware facade (Chaos) to mask state-sponsored espionage. They employ social engineering via Microsoft Teams to trick users into installing remote access tools (AnyDesk) and bypassing MFA to achieve initial access and data exfiltration.
■ Scope
- Organizations utilizing Microsoft Teams for communication
- Environments allowing remote administration tools (RATs)
■ Mitigation Steps
1. Review and restrict external chat permissions in Microsoft Teams to prevent unauthorized outreach.
2. Monitor endpoint logs for unauthorized installations of AnyDesk or similar remote management software.
3. Implement detection for binaries signed with the 'Donald Gay' certificate, previously linked to MuddyWater.
■ Reference
- Rapid7 Analysis
Priority: High
Deadline: Immediate review recommended
Dear Security Team,
This is a technical update regarding the Iranian APT group MuddyWater's recent tactics.
■ Overview
MuddyWater is utilizing a ransomware facade (Chaos) to mask state-sponsored espionage. They employ social engineering via Microsoft Teams to trick users into installing remote access tools (AnyDesk) and bypassing MFA to achieve initial access and data exfiltration.
■ Scope
- Organizations utilizing Microsoft Teams for communication
- Environments allowing remote administration tools (RATs)
■ Mitigation Steps
1. Review and restrict external chat permissions in Microsoft Teams to prevent unauthorized outreach.
2. Monitor endpoint logs for unauthorized installations of AnyDesk or similar remote management software.
3. Implement detection for binaries signed with the 'Donald Gay' certificate, previously linked to MuddyWater.
■ Reference
- Rapid7 Analysis
Priority: High
Deadline: Immediate review recommended