C
月内に
イランに関連すると見られる攻撃者が、オマーン政府の12省庁を標的にサイバー攻撃を仕掛けました
📌 一言でいうと
イランに関連すると見られる攻撃者が、オマーン政府の12省庁を標的にサイバー攻撃を仕掛けました。攻撃者はウェブシェルやSQLサーバーの権限昇格(GodPotato等)を用いてネットワークに侵入し、法務省などから2万6000件以上の機密データを窃取しました。この攻撃は、攻撃者がUAEに設置したステージングサーバーの設定ミスにより、ツールやC2コードが露出したことで発覚しました。
🔍該当判定
- 自社でMicrosoft Exchange Serverを運用し、外部からメール送受信を行っている
- 自社でSQL Serverを運用しており、外部からアクセス可能なWebサイトやシステムを公開している
- 自社でWebサーバーを運用しており、ファイルアップロード機能を持つフォームを設置している
- オマーン政府機関や中東地域の政府・公的機関と業務上のデータ連携を行っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
外部に公開しているサーバーのディレクトリリスティング設定を確認し、認証なしでアクセス可能な機密情報がないか点検すること。また、特権昇格ツール(GodPotato等)への対策として、OSおよびデータベースサーバーの最新パッチ適用を徹底すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】イラン系APTグループによるオマーン政府機関への攻撃について
お疲れさまです。イランに関連するAPTグループ(APT34/MuddyWater)による標的型攻撃に関する情報共有です。
■ 概要
ウェブシェルおよびSQLサーバーの権限昇格ツール(GodPotato等)を用いた攻撃により、オマーン政府の12省庁が侵害されました。攻撃者はデータを断片化して送信し、メモリベースの実行により痕跡を消去する高度な隠蔽工作を行っていました。
■ 影響範囲
- 外部公開サーバー(ウェブサーバー、SQLサーバー)
- 特権管理が不十分なWindowsサーバー
■ 対応手順
1. 外部公開サーバーのディレクトリ設定を確認し、意図しないファイル露出(ステージングサーバー化)がないか点検する。
2. SQLサーバーおよびOSの最新セキュリティパッチを適用し、権限昇格の脆弱性を排除する。
3. 不審なウェブシェルの設置や、メモリ上での不審なプロセス実行がないかEDR等で監視を強化する。
■ 参考情報
- Hunt.io 分析レポート
対応優先度: 中
対応期限: 次回定期メンテナンスまで
お疲れさまです。イランに関連するAPTグループ(APT34/MuddyWater)による標的型攻撃に関する情報共有です。
■ 概要
ウェブシェルおよびSQLサーバーの権限昇格ツール(GodPotato等)を用いた攻撃により、オマーン政府の12省庁が侵害されました。攻撃者はデータを断片化して送信し、メモリベースの実行により痕跡を消去する高度な隠蔽工作を行っていました。
■ 影響範囲
- 外部公開サーバー(ウェブサーバー、SQLサーバー)
- 特権管理が不十分なWindowsサーバー
■ 対応手順
1. 外部公開サーバーのディレクトリ設定を確認し、意図しないファイル露出(ステージングサーバー化)がないか点検する。
2. SQLサーバーおよびOSの最新セキュリティパッチを適用し、権限昇格の脆弱性を排除する。
3. 不審なウェブシェルの設置や、メモリ上での不審なプロセス実行がないかEDR等で監視を強化する。
■ 参考情報
- Hunt.io 分析レポート
対応優先度: 中
対応期限: 次回定期メンテナンスまで
Subject: [Intel] Cyber Attack on Oman Government by Iran-linked APTs
Dear Team,
We are sharing intelligence regarding a recent campaign targeting 12 government ministries in Oman, attributed to Iran-linked actors (APT34/MuddyWater).
■ Overview
Attackers utilized webshells and privilege escalation tools such as GodPotato to compromise networks. They employed memory-based execution and data fragmentation to evade detection and exfiltrated over 26,000 records from key agencies.
■ Scope
- Public-facing web servers
- SQL Servers with privilege escalation vulnerabilities
■ Mitigation Steps
1. Audit public-facing server directories to ensure no sensitive tools or logs are exposed without authentication.
2. Ensure all SQL servers and OS instances are fully patched against known privilege escalation vulnerabilities.
3. Enhance monitoring for unauthorized webshells and anomalous memory-resident processes via EDR.
■ Reference
- Hunt.io Analysis
Priority: Medium
Deadline: Next scheduled maintenance window
Dear Team,
We are sharing intelligence regarding a recent campaign targeting 12 government ministries in Oman, attributed to Iran-linked actors (APT34/MuddyWater).
■ Overview
Attackers utilized webshells and privilege escalation tools such as GodPotato to compromise networks. They employed memory-based execution and data fragmentation to evade detection and exfiltrated over 26,000 records from key agencies.
■ Scope
- Public-facing web servers
- SQL Servers with privilege escalation vulnerabilities
■ Mitigation Steps
1. Audit public-facing server directories to ensure no sensitive tools or logs are exposed without authentication.
2. Ensure all SQL servers and OS instances are fully patched against known privilege escalation vulnerabilities.
3. Enhance monitoring for unauthorized webshells and anomalous memory-resident processes via EDR.
■ Reference
- Hunt.io Analysis
Priority: Medium
Deadline: Next scheduled maintenance window