中東紛争に便乗した日和見的なサイバー攻撃

はじめに

脅威アクターは多くの場合、悪意のあるアクティビティーへの関心を高めるために、世界的な大規模イベントを悪用します。Zscaler ThreatLabzは、中東における政治情勢の激化に乗じたサイバー犯罪の急増を詳細に追跡しています。こうした悪意のあるアクティビティーの増加には、進行中の紛争に直接関連する発見と、付随するその他の発見が含まれます。

ThreatLabzは、中東の政治情勢や紛争をテーマにしたイベントに関連するキーワードを含む、8,000以上の新規登録ドメインを特定しました。これらのドメインのほとんどに現時点でコンテンツはありませんが、近い将来、武器化されたり、脅威キャンペーンに悪用されたりする可能性があります。アクティブなドメインを分析すると、紛争監視サイト、紛争をテーマにしたミームコイン、紛争関連商品を販売する短期間限定のオンライン店舗、一般的なブログや紛争をテーマにしたゲーム、詐欺や賭博関連のProgressive Web App (PWA)など、いくつかの傾向が明らかになりました。ThreatLabzは、新規登録ドメインと現在はアクティブでないドメインを引き続き監視し、新たな脅威キャンペーンを探る予定です。

このブログでは、ThreatLabzが複数の事例を検証しています。具体的には、バーレーンへのミサイル攻撃に関するPDFに見せかけた紛争をテーマにした誘導ファイル、紛争をテーマにした誘導ファイルを使ってDLLサイドローディング経由でLOTUSLITEバックドアを配信するマルウェア チェーン、さらにユーザーをStealCマルウェアにリダイレクトする偽のニュース ブログ キャンペーンなどの事例です。また、被害者のデータを収集するために設計された偽の政府サイトや決済フィッシング サイト、疑わしい宛先に支払いを誘導する寄付詐欺やオンライン店舗詐欺、そして価格操作スキームにあたるミームコインのプロモーションについても詳しく解説します。

推奨される対応

このブログで紹介する中東諸国を標的とした最近の脅威キャンペーンを考慮し、ThreatLabzは組織の防御強化と侵害リスクの軽減を実現するために、以下のベスト プラクティスを推奨します。

• 攻撃対象領域を最小化：アプリや脆弱なVPNをインターネットから見えない状態にし、不正侵入を阻止することで、攻撃者が初期アクセス権を取得できないようにします。
• 初期侵入の防止：すべてのトラフィックをインラインで検査し、ゼロデイ エクスプロイト、マルウェア、その他の高度な脅威を自動的に阻止します。
• 最小特権アクセスの施行：アイデンティティーとコンテキストを使用してユーザー、トラフィック、システム、アプリケーションへのアクセスを制限し、許可されたユーザーのみが指定のリソースにアクセスできるようにします。
• 不正アクセスのブロック：強力な多要素認証(MFA)を使用してユーザーのアクセス要求を検証します。
• ラテラル ムーブメントの排除：ユーザーをネットワークではなくアプリに直接接続して、潜在的なインシデントの影響範囲を制限します。
• 情報漏洩の阻止：攻撃中のデータの持ち出しを阻止するために、転送中データと保存データを検査します。
• アクティブ ディフェンスの導入：デコイを活用するデセプション テクノロジーを駆使し、侵害されたエンドポイントからのハンズオン キーボード操作を検知するとともに、攻撃対象となる実際のアプリケーションへのアクセスをブロックします。
• セキュリティ文化の構築：多くの侵害は、フィッシング攻撃によって不正侵入された1つのユーザー アカウントから始まります。定期的なサイバーセキュリティ意識向上トレーニングを優先することで、このリスクを軽減し、従業員を侵害から守ることができます。
• セキュリティ態勢の確認：サードパーティーによる定期的なリスク評価やパープル チームの活動を実施して、セキュリティ プログラムのギャップを特定、強化します。組織はサービス プロバイダーやテクノロジー パートナーにも同様の取り組みを求め、これらのレポート結果を自社のセキュリティ部門と共有させることが重要です。

概要

事例4と5において、ThreatLabzはページ ソースや関連コードに埋め込まれたペルシア語のコメントを確認しました。これらの痕跡で帰属を確定できるわけではありませんが、オペレーターの作業環境に関する有用な背景情報を提供し、イランに関連する可能性のある脅威アクターの存在を示唆することがあります。このブログで取り上げるその他のキャンペーンにおいて、同じコードレベルの痕跡は認められなかったものの、脅威アクターが中東の紛争を利用し、イランや地政学的動向といったテーマを用いてユーザーの関心を引き付けていることが確認されました。

事例1:湾岸協力理事会(GCC)地域における標的型攻撃の疑い

2026年3月1日、ThreatLabzは中東紛争に関連するファイルを含むZIPアーカイブを確認しました。このアーカイブにはWindowsショートカット(LNK)ファイルが含まれており、開くと脅威アクターが管理するサーバーから悪意のあるWindows Compiled HTML Help (CHM)ファイルがダウンロードされます。その後、CHMファイルはシェルコード ローダー、高度に難読化されたシェルコード、最終的にはバックドアを展開するために悪用されました。誘導の一環として、ミサイル攻撃の画像を含むデコイのPDFファイルが投下されました。PDF内のアラビア語のテキストは「バーレーンの米軍基地に対するイランのミサイル攻撃」と翻訳されます。以下の図は、この攻撃で使用されたデコイのPDFファイルを示しています。

図1:バーレーンの米軍基地に対するイランのミサイル攻撃に言及するPDFの誘導ファイル。

以降のセクションでは、確認された攻撃フローと関連するファイルの概要を示します。

第1段階

ZIPアーカイブには、photo_2026-03-01_01-20-48.pdf.lnkという名前のLNKファイルが含まれています。このLNKのターゲット コマンド ラインはcURLを使用し、hxxps://www.360printsol[.]com/2026/alfadhalah/thumbnail?img=index.pngから悪意のあるCHMファイルをダウンロードします。その後、LNKファイルは正規のWindows HTML Help実行ファイル(hh.exe)に-decompileオプションを指定し、CHMのコンテンツを抽出します。CHMから抽出されるファイルは以下のとおりです。

• 0.lnk:ステージ2のWindowsショートカット
• 3:ルアーとして使用されたデコイのPDF
• 4:悪意のあるコンポーネントを含むTARアーカイブ

ステージ1のLNKは、ステージ2のショートカット(0.lnk)を起動します。

ステージ2

ステージ2のLNKは、以下のアクションを実行します。

• ファイル3からデコイのPDFをコピーし、photo_2026-03-01_01-20-48.pdfとして書き込みます。
• ファイル4をTARアーカイブとして扱い、そのコンテンツを%AppData%に展開します。
• 引数--path aを使用して%AppData%\BaiduNetdisk\ShellFolder.exeを実行します。

次に、ShellFolder.exeはDLLサイドローディングを使用し、ShellFolderDepend.dllという名前の悪意のあるDLLを読み込みます。

ShellFolderDepend.dllの解析(シェルコード ローダー)

ShellFolderDepend.dllは32ビットDLLで、永続性を確立してから、埋め込まれたシェルコードを復号して実行します。

永続性を確立するために、DLLは実行中のプロセスを列挙し、bdagent.exe (Bitdefender Agent)が存在するかどうかを判断します。その結果に基づき、DLLは以下の2つのいずれかの方法で永続化します。

• bdagent.exeが実行中の場合：DLLはreg.exeを使用し、ホスト バイナリー(ShellFolder.exe)を指す以下の実行キーを設定します。

C:\Windows\System32\reg.exe ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /reg:64 /v BaiNetdisk /t REG_SZ /d "\"%s\" --path a" /f

• bdagent.exeが実行されていない場合：DLLはRegSetValueExAを使用し、同じ実行キーを直接設定します。

DLLはWindows Native API SystemFunction033 (RC4)を呼び出し、(DLLと同じ場所にある) Shelter.exに格納されたシェルコードをキー20260301@@@で復号します。その後、DLLは以下の処理を実行します。

1. VirtualAllocで実行メモリーを割り当てます。
2. 復号されたシェルコードをメモリーにコピーします。
3. 実行を復号されたシェルコードに転送します。

状態

ThreatLabzは後続のペイロードの分析を継続し、より踏み込んだ続報の分析レポートを公開しました。

事例2: Mustang Pandaによるイラン紛争をテーマにした誘導に使用されたLOTUSLITEバックドア

2026年3月4日、ThreatLabzは紛争のテーマに関連した名前を持つ悪意のあるZIPアーカイブを特定しました。このアーカイブ内のマルウェアを実行すると、LOTUSLITEバックドアのダウンロードと実行が開始されました。

ZIPには以下が含まれていました。

• 正規のKuGou音楽ソフトウェアのバイナリー。脅威アクターによってIran Strikes US Military Facilities Across Gulf Region.exeに名前が変更されている状態
• 悪意のあるDLL、libmemobook.dll

抽出されたJCPOAというディレクトリー名に基づき、ThreatLabzはそのコンテンツが2015年に署名されたイランの核合意に関する包括的共同行動計画(JCPOA)に関連するように見せかける意図があったと評価しています。Iran Strikes US Military Facilities Across Gulf Region.exeというファイル名は、中東で進行中の軍事紛争に合わせて意図的に選択されたものと思われます。

実行されると、正規の実行ファイルは同じディレクトリーにある悪意のあるlibmemobook.dllをサイドロードします。

ステージ1: libmemobook.dllの解析(LOTUSLITEダウンローダー)

libmemobook.dllは32ビットC++ DLLで、次の段階のペイロードをダウンロードし、エンドポイント上で永続性を確立するために使用されます。悪意のある機能は、ProcessMainというエクスポート関数に実装されています。

最初の実行時に、ダウンローダーはLOTUSLITEがすでにインストールされているかどうかを確認するチェックを実行します。確認対象は、C:\ProgramData\CClipboardCm\下にある以下の2つのファイルです。

• WebFeatures.exe
• kugou.dll

ダウンローダーは、両方のファイルが予想されるファイル サイズと一致しているかも確認します。チェックを通過した場合、ダウンローダーはWebFeatures.exeを起動し、終了します。

環境チェックに失敗した場合、ダウンローダーは以下のインストール手順を開始します。

• 対象ディレクトリーからの実行状況の確認：ダウンローダーは、C:\ProgramData\CClipboardCm\からすでに実行されているかどうかを確認します。実行されていない場合、ディレクトリーを作成し、以下のファイルをコピーします。
  • ファイル自身をC:\ProgramData\CClipboardCm\libmemobook.dllにコピー
  • 正規のホスト実行ファイルをC:\ProgramData\CClipboardCm\SafeChrome.exeにコピー
• 永続性の確立：ダウンローダーはWindowsの実行キーを作成します。
  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ACboardCm
  これをC:\ProgramData\CClipboardCm\SafeChrome.exeに設定します。

次に、ダウンローダーはC:\ProgramData\WebFeatures\に次の段階のコンポーネントが存在するかを確認します。

• WebFeatures.exe
• kugou.dll

両方のファイルが存在し、そのサイズも確認された場合、ダウンローダーはCreateProcessWを介してWebFeatures.exeを実行します。その後、WebFeatures.exeは同じディレクトリーから悪意のあるDLL kugou.dllをサイドロードし、感染チェーンを継続します。

次の段階のペイロードが存在しない場合、ダウンローダーは埋め込まれたシェルコードを復号し、VirtualAllocで実行メモリーを割り当て、復号されたシェルコードを割り当てられた領域にコピーし、以下のように間接的に実行します。

• EnumFontsWのコールバックをシェルコードのアドレスに設定します。
• EnumFontsWを呼び出し、実行をトリガーします。

シェルコードの解析

32ビットのシェルコードは、主に以下の表にある事前構成されたURLを使用し、次の段階のペイロードをダウンロードしてドロップします。

表1:シェルコードで使用される事前構成されたURL。

注目すべき点として、ドメインe-kflower[.]comは侵害されており、脅威アクターによってペイロードのステージングに使用されています。

シェルコードは、すべてのネットワーク リクエストに使用されるユーザーエージェントをMozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36にハードコードしています。このユーザーエージェントは、正規のChromeブラウザーのアクティビティーを模倣するために、HTTPトラフィック全体に一貫して適用されます。次の段階のペイロードをダウンロードした後、ダウンローダーはそれをC:\ProgramData\WebFeatures\にコピーします。その後、実行キーのHKCU\Software\Microsoft\Windows\CurrentVersion\Run\ASEdgeを作成し、C:\ProgramData\WebFeatures\WebFeatures.exe -Edgeを起動するように設定することで、永続性を確立します。

ステージ2: kugou.dllの解析

WebFeatures.exeは、KuGou音楽ソフトウェア スイートの正規のデータ インポーター ユーティリティーです。侵害されたディレクトリーから実行されると、同じ場所に配置された悪意のあるkugou.dllをサイドロードします。ThreatLabzは、kugou.dllと2026年1月に記録されたLOTUSLITEバックドアとの間に大きなコードの重複があることを確認し、同じC2 IPアドレス172.81.60[.]97の使用も確認しました。

LOTUSLITEに関連する脅威アクターは、活発な地政学的イベントに関連するテーマを急速に攻撃に利用しているとみられます。2026年1月には、米国とベネズエラ間の緊張に関連するストーリーをを利用していました。このキャンペーンでは、中東紛争というテーマを採用していることが確認されました。

事例3: StealCマルウェアにつながる偽のニュース ブログ

ThreatLabzは、悪意のあるJavaScriptをホストし、StealCマルウェアのダウンロードにつながる偽のニュース ブログ サイトを特定しました。このキャンペーンで使用されるスクリプトは、訪問者のデバイスの種類(スマートフォン、デスクトップ、小型画面デバイスなど)を検知できます。偽のニュース サイトの例を以下に示します。

図2: StealCマルウェアを配信するために使用された、 goldman-iran-krieg[.]pages[.]devにホストされたイランをテーマにした偽のニュース サイト。

悪意のあるJavaScriptは被害者をファイル ホスティング ページにリダイレクトし、パスワード保護されたZIPアーカイブでStealCペイロードを配信します。以下の図に示すように、パスワードは同じページに記載されています。

図3: StealCを含むパスワード保護されたZIPをホストするファイル ホスティング ページ。

StealCを配信するための攻撃フロー全体を以下に示します。

図4: StealCの配信フロー。

事例4:偽の米国社会保障ポータル

この事例では、以下の図に示すように、新規登録ドメインcfgomma[.]comが米国社会保障局(SSA)のポータルの偽の複製ページをホストしていました。

図5: cfgomma[.]comにホストされた偽のSSAポータル。

ページのソースを調べたところ、下の図に示すようにペルシア語のコメントが見つかりました。

図6:ページのソース コード内にあるペルシア語のコメント。

被害者が「明細書をダウンロードする」オプションをクリックすると、サイトは正規のリモートの監視と管理(RMM)ツールであるPDQConnectのダウンロードを開始します。被害者がソフトウェアをインストールして実行すると、攻撃者はシステムへのリモート アクセスを取得し、データの持ち出しなどの後続の不正活動を行う可能性があります。

事例5:イスラエルのKvish 6通行料支払いサイトを装った偽サイト

次の事例では、ドメイン017[.]65c[.]mytemp[.]websiteが、以下の図に示すように、イスラエルのKvish 6通行料支払いゲートウェイを装った偽サイトをホストしていました。

図7: 017[.]65c[.]mytemp[.]websiteにホストされた偽のKvish 6通行料支払いサイト。

偽のページは、IPアドレスやデバイスの種類などの被害者情報を収集し、被害者をだまして免許に関連する詳細情報を入力させます。その後、罰金と称する料金を支払わせるための支払い情報の入力を促します。

先ほどの事例と同様に、この偽サイトのページ ソースには、以下に示すようにペルシア語のコメントが含まれています。

図8:ページのソース コード内にあるペルシア語のコメント。

送信されたデータは、以下の図に示すように、Telegramボットに転送されます。

図9: Telegramボットに転送された被害者による送信データの例。

事例6:紛争をテーマにした寄付詐欺

ThreatLabzは、人道支援や「サポート」キャンペーンを装ったページを複数確認しました。資金を検証可能な慈善団体に送るのではなく、支払いの流れを通じて、疑わしいGoogle Pay (GPay)の識別子や仮想通貨ウォレットのアドレスに被害者を誘導するものです。こうした偽の寄付詐欺の例を以下の図に示します。

図10: irandonation[.]orgにホストされた偽の寄付サイト。支払いは不審な仮想通貨ウォレット アドレスにリダイレクトされます。

事例7:紛争をテーマにしたオンライン店舗詐欺

ThreatLabzは、「サポート」を謳ってアパレル、アクセサリー、限定版商品を宣伝する、紛争をテーマにしたオンライン店舗を確認しました。これらのサイトは、日和見的な詐欺と一致する特徴(最小限の事業者情報、最近作成されたドメイン、連絡先/返品に関する情報の少なさなど)を示していることが多く、未配達詐欺から決済カード情報の不正取得につながる可能性まで、多様なリスクを示唆しています。詐欺の可能性があるショッピング サイトの例を以下の図に示します。

図11: nowarwithiran[.]storeにホストされた詐欺の可能性があるショッピング サイト。

事例8:ミームコインと価格操作によるプロモーション

ThreatLabzは、紛争をテーマにしたトークンを宣伝するページをさらに確認しました。これらは、感情を刺激するメッセージや「速報ニュース」風のコンテンツを用いて、人為的な誇大宣伝を作り出します。これらのキャンペーンは、急速な買い圧力を誘発し、流動性が高まった時点で保有資産を売却し、後から購入した投資家に損失を与えることを目的としています。このプロモーションの例を以下のスクリーンショットに示します。

図12: khameneisol[.]xyzにホストされた$KHAMENEIミームコインの価格操作によるプロモーション。

関連するThreatLabzリサーチ

ThreatLabzは、2026年1月から活動している、イラク政府関係者を標的としたイランの関連が疑われるアクティビティーについて以前に報告しました。Dust Specter APT Targets Government Officials in Iraqをご覧ください。

まとめ

中東の地政学的緊張が高まるなかで、サイバー犯罪者はすぐにその機会を悪用します。今回の勧告で示された脅威キャンペーンを理解することで、組織は防御を強化し、侵害リスクを軽減できます。

Zscalerの対応範囲

Zscalerの多層クラウド セキュリティ プラットフォームは、このアクティビティーに関連する以下のようなさまざまなレベルの痕跡を検出しています。

図13: StealCに関するZscaler Sandboxのレポート。

侵害の痕跡(IoC)

StealC

StealCをホストするドメイン

ドメインのリダイレクト

LOTUSLITEバックドア キャンペーン

ファイルの痕跡

ネットワークの痕跡