C
月内に
イランの国家支援型攻撃グループMuddyWaterが、ランサムウェアグループ「Chaos」を装ってスパイ活動を行っていること
📌 一言でいうと
イランの国家支援型攻撃グループMuddyWaterが、ランサムウェアグループ「Chaos」を装ってスパイ活動を行っていることが判明しました。攻撃者はMicrosoft Teamsを用いたフィッシングキャンペーンを展開し、標的に画面共有を促したり、認証情報をテキストファイルに記入させたりして権限を奪取します。最終的にランサムウェアを装うことで、背後にある広範なバックドア設置などの諜報活動を隠蔽しようとしています。
🔍該当判定
- Microsoft Teamsで外部ユーザーから不審なメッセージやファイル送信を受けている
- Teamsの画面共有中に、相手から「テキストファイルにパスワードを入力してほしい」と指示されたことがある
- 社内で多要素認証(MFA)の設定変更を、外部の指示に従って行ったユーザーがいる
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Microsoft Teams経由の不審な連絡への警戒、MFA設定の変更要求に対する拒否、およびエンドポイントでの不審なテキストファイル作成の監視を推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】Microsoft Teamsを利用した不審な連絡への注意について
お疲れさまです。情報システム担当です。
現在、Microsoft Teamsなどのチャットツールを悪用し、偽の指示でパスワードや認証情報を盗み出そうとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知り合いであっても、Teamsで「画面共有」を求められたり、パスワードをファイルに書き込むよう指示された場合は、絶対に応じずすぐに報告してください。
2. 多要素認証(MFA)の設定変更を促す不審なメールやメッセージに注意してください。
対応期限: 本日中(確認および注意徹底)
お疲れさまです。情報システム担当です。
現在、Microsoft Teamsなどのチャットツールを悪用し、偽の指示でパスワードや認証情報を盗み出そうとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知り合いであっても、Teamsで「画面共有」を求められたり、パスワードをファイルに書き込むよう指示された場合は、絶対に応じずすぐに報告してください。
2. 多要素認証(MFA)の設定変更を促す不審なメールやメッセージに注意してください。
対応期限: 本日中(確認および注意徹底)
Subject: [Security Alert] Beware of Suspicious Communications via Microsoft Teams
Hi everyone,
We have received reports of attackers using Microsoft Teams to trick users into revealing sensitive information or granting unauthorized access to their accounts.
What we need you to do:
1. Be extremely cautious if someone asks you to share your screen or enter your credentials into a text file via Teams, even if they seem familiar.
2. Do not follow any instructions to modify your Multi-Factor Authentication (MFA) settings unless officially requested by the IT department.
Deadline: Immediate (Awareness and vigilance)
Hi everyone,
We have received reports of attackers using Microsoft Teams to trick users into revealing sensitive information or granting unauthorized access to their accounts.
What we need you to do:
1. Be extremely cautious if someone asks you to share your screen or enter your credentials into a text file via Teams, even if they seem familiar.
2. Do not follow any instructions to modify your Multi-Factor Authentication (MFA) settings unless officially requested by the IT department.
Deadline: Immediate (Awareness and vigilance)
件名: 【共有】MuddyWaterによるランサムウェア偽装スパイ活動について
お疲れさまです。イラン系APTグループMuddyWaterの活動に関する情報共有です。
■ 概要
MuddyWaterがChaosランサムウェアを装い、諜報活動を隠蔽する手法が確認されました。Microsoft Teamsを用いたフィッシングから始まり、ソーシャルエンジニアリングによってMFA設定の変更や認証情報の窃取を行い、バックドアを設置します。
■ 影響範囲
- Microsoft Teamsを利用している全組織
- 特に政府機関および金融セクター
■ 対応手順
1. Teamsのログおよび不審な外部ユーザーとの通信履歴を監査してください。
2. MFA設定の変更履歴を監視し、不審なデバイスの登録がないか確認してください。
3. エンドポイントにおいて、認証情報が平文で保存された不審なテキストファイルの作成を検知するルールを適用してください。
■ 参考情報
- Rapid7 Analysis
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。イラン系APTグループMuddyWaterの活動に関する情報共有です。
■ 概要
MuddyWaterがChaosランサムウェアを装い、諜報活動を隠蔽する手法が確認されました。Microsoft Teamsを用いたフィッシングから始まり、ソーシャルエンジニアリングによってMFA設定の変更や認証情報の窃取を行い、バックドアを設置します。
■ 影響範囲
- Microsoft Teamsを利用している全組織
- 特に政府機関および金融セクター
■ 対応手順
1. Teamsのログおよび不審な外部ユーザーとの通信履歴を監査してください。
2. MFA設定の変更履歴を監視し、不審なデバイスの登録がないか確認してください。
3. エンドポイントにおいて、認証情報が平文で保存された不審なテキストファイルの作成を検知するルールを適用してください。
■ 参考情報
- Rapid7 Analysis
対応優先度: 高
対応期限: 速やかに確認
Subject: [Threat Intel] MuddyWater Espionage Campaign Masquerading as Ransomware
Hi team,
This is a technical update regarding the activity of the Iranian APT group MuddyWater.
■ Overview
MuddyWater is currently conducting espionage operations while masquerading as the 'Chaos' ransomware gang to divert attention from their backdoor installations. The attack chain begins with Microsoft Teams phishing, leveraging social engineering to force targets to modify MFA settings and leak credentials via local text files.
■ Scope
- Organizations utilizing Microsoft Teams
- Government and Banking sectors
■ Mitigation Steps
1. Audit Microsoft Teams logs for suspicious external communications.
2. Monitor MFA registration logs for unauthorized device additions.
3. Implement EDR rules to detect the creation of suspicious text files containing credential-like patterns.
■ Reference
- Rapid7 Analysis
Priority: High
Deadline: Immediate review
Hi team,
This is a technical update regarding the activity of the Iranian APT group MuddyWater.
■ Overview
MuddyWater is currently conducting espionage operations while masquerading as the 'Chaos' ransomware gang to divert attention from their backdoor installations. The attack chain begins with Microsoft Teams phishing, leveraging social engineering to force targets to modify MFA settings and leak credentials via local text files.
■ Scope
- Organizations utilizing Microsoft Teams
- Government and Banking sectors
■ Mitigation Steps
1. Audit Microsoft Teams logs for suspicious external communications.
2. Monitor MFA registration logs for unauthorized device additions.
3. Implement EDR rules to detect the creation of suspicious text files containing credential-like patterns.
■ Reference
- Rapid7 Analysis
Priority: High
Deadline: Immediate review