チェック・ポイント・リサーチ、イラン系脅威アクター「Handala Hack」の破壊型攻撃の実態を報告
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
イラン関連の脅威アクターVoid Manticoreが展開するHandala Hackの活動分析から、複数のワイパー型マルウェアやディスク暗号化、手動操作を組み合わせた多層的な攻撃手法が浮き彫りに
サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(
Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、中東情勢の激化に伴い活動範囲を拡大するイラン関連の脅威アクター「Handala Hack」に関する観測結果を公開しました。
主な調査結果
- 「Handala Hack(Handala)」は、イラン情報省(MOIS)に関連するアクターであるVoid Manticore(別名Red Sandstorm、Banished Kitten)が運用するオンラインペルソナです。- このアクターには他にも「Karma」や「Homeland Justice」など複数のペルソナが確認されており、これらはイスラエルおよびアルバニアを標的とした攻撃活動で使用されています。- Handalaは従来のTTP(戦術・技術・手順)を継続して用いており、被害者環境内での迅速でハンズオン型の活動を主体とし、複数のデータ消去攻撃を同時に実行しています。- さらに、新たに確認されたTTPとして、NetBirdを用いたネットワーク内部へのトラフィックのトンネリングや、データ消去攻撃にAI支援のPowerShellスクリプトを使用する手法などが挙げられます。
Handala Hack(Handala)は、CPRが過去に
Void Manticoreとしても分析結果をまとめたことのあるイラン関連の脅威アクターで、情報窃取と漏えい(ハック&リーク)を伴う破壊型のデータ消去攻撃で知られています。この脅威アクターは、2022年以降アルバニアを標的とした攻撃に用いられて最も知名度の高い
Homeland Justiceをはじめ、複数のオンラインペルソナを運用しています。Handalaはイスラエルでの複数の侵害活動に関与しており、最近では大手医療技術メーカーStrykerを含む米国企業にまで
標的範囲を拡大しています。
Void ManticoreのTTP(戦術・技術・手順)には2024年以降2026年現在まで大きな変化は見られず、手動によるハンズオン型の侵入後活動、既製のワイパー、一般に入手可能な削除・暗号化ツールへの依存が続いています。そのためCPRが2024年に公開した
調査が、その活動を理解する上で引き続き重要な意義を持っています。同グループはこれまで、独自開発ツールと公開ツールの双方を活用する一方で、初期アクセスやマルウェアの調達のためにアンダーグラウンドの
犯罪サービスにも依存してきました。
同グループが活動範囲の拡大を続けている状況を受け、CPRは最新のTTPと新たに特定された侵害指標に焦点を当てた観測結果を公開しました。同グループの活動が主に手動でハンズオン型であることから、これらの指標は概して短命で、多くは商用のVPNサービスやオープンソースのソフトウェア、一般に入手可能な攻撃的セキュリティツールによって構成されています。
背景
「Handala Hack(Handala)」 は、イラン情報省(MOIS)に関連する脅威アクターグループVoid Manticore(別名Red Sandstorm、Banished Kitten)が運用するオンラインペルソナです。名称およびイメージはパレスチナの漫画キャラクター「Handala(ハンダラ)」に由来し、2023年後半以降、同グループが持つ主要な活動名義3件のうちの1件として使用されています。他の2件はKarmaとHomeland Justiceであり、後者は現在もアルバニアを標的とした作戦で使用されています。
[画像1:
https://prcdn.freetls.fastly.net/release_image/21207/497/21207-497-b5b3baeb64bcc7950b4d0950a258c6ab-1009x334.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
画像1 - Void Manticoreの各ペルソナのロゴ(左から):Homeland Justice、Handala、Karma
CPRの観測によると、これら3つのペルソナに関連する侵害活動は類似したTTPを示し、展開するワイパーのコードにも重複が確認されています。KarmaおよびHomeland Justiceは、別のイラン系脅威アクターScarred Manticoreとの連携も確認されています。また一部では、ワイパー内のメッセージや侵害環境に残されたメモなど、被害者向けの表示ではKarmaの名称が使用され、窃取データはHandala名義で公開される事例も確認されています。
[画像2:
https://prcdn.freetls.fastly.net/release_image/21207/497/21207-497-33bac52de43b503b5d171ec36bd363cf-1718x698.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
画像2 - Void Manticoreの作戦の相互関係図
これらの状況から、KarmaとHandalaは当初、同一組織内の別個の作戦単位として運用された後、単一のブランドに統合された可能性があります。これは、Karmaが完全に姿を消し、Handalaが主要な対外ペルソナとして台頭している状況とも整合します。
公開情報によると、Void ManticoreはMOISの国内治安部門、中でも対テロ(CT)部門との関連が指摘されています。
初期アクセス
Handalaは、認証情報の窃取を目的としてIT企業やサービスプロバイダーを標的とし、主に侵害されたVPNアカウントを用いて初期アクセスを確立します。直近数カ月では、商用VPNノードを起点としたログイン試行やブルートフォース攻撃が数百件規模で確認されており、DESKTOP-XXXXXXやWIN-XXXXXXといったデフォルトホスト名が関連しています。
2026年1月のイランにおけるインターネット遮断以降、StarlinkのIPアドレス帯からも
同様の活動が継続して観測されています。また、従来は商用VPNを経由することでアクターの活動に関する一定の運用セキュリティ(OPSEC)が維持されていましたが、戦争開始以降その水準が低下し、イラン国内のIPアドレスからの直接接続やVPN以外の経路からの通信が露呈する事例も確認されています。
Handalaによる侵害とされる一部の事例では、破壊フェーズの数カ月前からネットワーク侵入が行われ、攻撃に必要な持続的なアクセスとドメイン管理者権限が事前に確保されていたとみられます。破壊活動の直前には、侵害された認証情報を用いたアクセス確認や認証テストが実施されていました。さらにこれらの事例では、Windows Defenderの無効化や複数回にわたる偵察、認証情報窃取が実行され、従来のTTPとわずかに異なることから、この活動がHandalaに直結したものなのかの判断を難しくしています。その後、攻撃者はLSASSプロセスのダンプ取得や、HKLMのような機密レジストリハイブのエクスポートに並行し、ADReconによるActive Directory環境の列挙などを実行しました。この時点で、データ消去攻撃に必要なドメイン管理者権限が取得された可能性があります。
横方向の展開
Handalaは主に主導によるハンズオン型の手法で活動することで知られており、侵害環境内での横方向の展開は、主にRDPを用いてシステム間を移動する形で行われます。ネットワーク外部から直接アクセスできないホストに到達するために、
NetBirdの展開が確認されています。NetBirdは、安全かつプライベートなゼロトラストメッシュネットワークを構築するためのオープンソースプラットフォームです。
NetBirdの導入は手動で行われ、攻撃者は侵害したホストにRDP経由で接続した後、ローカルのWebブラウザを使用してNetBird公式サイトからソフトウェアを直接ダウンロードしています。攻撃者は環境内の複数のマシンにNetBirdをインストールすることで複数のシステム間で内部接続を確立します。この手法により、複数の足場から並行して作戦を実行することでコントロールを維持しながら、破壊活動を加速させることができます。当該インシデントでは、攻撃者の制御下にある少なくとも5台のマシンが同時に稼働していたことが確認されています。
ワイパー型マルウェアを用いたデータ消去攻撃
CPRの観測によると、本攻撃の破壊フェーズでは、影響及び破壊によるダメージの最大化を目的として4種類のデータ消去手法が並行して実行されました。さらに、ネットワーク全体にグループポリシーを通じて複数のワイパーを展開することで、さらなる効果が狙われていました。
中核となるのはカスタムワイパーのHandala Wiper(handala.exe)で、グループポリシーのログオンスクリプトを用いたスケジュール済みのタスクとして配布されました。このカスタムワイパーには2つのワイパーコンポーネントが含まれ、実行されるとファイルの上書きやMBRベースのワイパー技術によるシステム上のファイルの破壊を通じて、大規模なデータ損失を引き起こします。
[画像3:
https://prcdn.freetls.fastly.net/release_image/21207/497/21207-497-6dd8cc910ab24f3cf5565d4cfea6198a-1008x313.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
画像3 - Handala Wiperの実行フロー
破壊作戦の最終段階では、攻撃者はさらに、グループポリシーのログオンスクリプトを通じてPowerShellベースのカスタムワイパーも展開しました。このワイパーはユーザーディレクトリ内の全ファイル削除を実行し、被害を拡大させます。コード構造と詳細なコメントから、このスクリプトはAI支援により開発された可能性が示唆されています。また、最終段階では「handala.gif」と呼ばれるプロパガンダ画像をすべてのロジカルドライブに配置し、攻撃の痕跡を可視化する意図を示しています。
このカスタムワイパーツールに加え、正規のディスク暗号化ツールVeraCryptの悪用も確認されました。攻撃者は正規ツールを用いてシステムドライブを暗号化することで、破壊プロセスにさらなるレイヤーを追加し、被害を拡大させるとともに復旧を困難にする意図が伺われます。
一部の事例では、Handalaのオペレーターが仮想化プラットフォーム上から、仮想マシンや、侵害端末上のファイルを手動で一括して削除する動作が確認されています。こうした挙動は複数のインシデントにおいて確認されており、Handalaが公開した動画や流出資料にも同様の操作が記録されています。
チェック・ポイントの推奨事項
本リリースでは「Handala Hack」の背景とVoid Manticoreとの関連、破壊型攻撃の特徴について解説しましたが、同グループの手口は比較的シンプルで大きな変化は見られないため、これらの手法に対する防御強化が、脅威への有効な対策となります。
- 多要素認証(MFA)の実行:特にリモートアクセスや特権アカウントについては必ず適用する- 侵害された認証情報の使用や不審な認証アクティビティを監視し、特に以下の点に注意する- 組織または特定のユーザーにおける、これまで観測されていない国からのログイン- 以下のような異常なアクセスパターン: ・通常の営業時間外における初回ログイン ・複数回のログイン失敗後の成功 ・新規デバイスの登録 ・VPNセッション中の異常なデータ転送量 ・新たなASN/ホスティングプロバイダーからの認証- 高リスクの地域およびインフラからのアクセスを制限 ・正当な業務上の必要性が確認されない限り、イランからの着信接続はネットワーク境界およびリモートアクセスサービス(VPN/SSO)においてブロックする ・イラン関連アクターによる悪用が確認されたことから、StarlinkのIPアドレス帯をブロック、または厳格に制限する ・完全ブロックが困難な場合は、条件付きアクセス制御の適用、認証要件の強化、および監視体制の強化を実施する- 必要に応じてリモートアクセスポリシーの一時的な厳格化を検討可能であればVPN接続を業務関連のある国・地域のみに限定し、ホワイトリスト化されたユーザー/拠点、専用のジャンプホスト、管理対象デバイスなど、業務上の必要性に基づく例外のみ許可する- 環境全体におけるRDPアクセスを制限・厳格化し、運用上不要な場合は無効化する。特に業務時間外において、Windowsのデフォルトの命名規則(DESKTOP-XXXXXX、WIN-XXXXXXXX)を使用する端末からのRDPアクセスを重点的に監視する- リモート管理・監視(RMM)ツール、NetBirdなどのVPNアプリケーション、Windows向けSSHなどのトンネリングツールを含む、潜在的に不要または不審なソフトウェアの使用を監視する
Handala Hackの技術的詳細については、CPRの
レポートをご覧ください。
本プレスリリースは、米国時間2026年3月12日に発表された
レポート(英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ:
https://research.checkpoint.com/
X:
https://x.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(
www.checkpoint.com)は、世界各国の10万を超える組織を保護するグローバルなサイバーセキュリティのリーダー企業です。同社は、企業の安全なAIトランスフォーメーションの保護をミッションとして掲げています。防止優先のアプローチとオープンエコシステムアーキテクチャを通じて、複雑なデジタル環境全体にわたり、高度な脅威のブロック、エクスポージャーの優先順位付け、セキュリティオペレーションの自動化を支援します。チェック・ポイントの統合アーキテクチャは、ハイブリッドネットワーク、マルチクラウド環境、デジタルワークスペース、AIシステム全体にわたる保護を簡素化します。4つの戦略的柱であるハイブリッドメッシュネットワークセキュリティ、ワークスペースセキュリティ、エクスポージャー管理、AIセキュリティを軸に、チェック・ポイントはマルチベンダー環境全体で一貫した保護と可視性を提供し、複雑さの増大させることなく、組織がリスクの低減、効率の向上、そしてイノベーションの加速を実現できるよう支援します。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(
https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog:
https://blog.checkpoint.com
・Check Point Research Blog:
https://research.checkpoint.com/
・YouTube:
https://youtube.com/user/CPGlobal
・LinkedIn:
https://www.linkedin.com/company/check-point-software-technologies/
・X:
https://x.com/checkpointjapan
・Facebook:
https://www.facebook.com/checkpointjapan
将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの製品およびソリューションならびにLakeraの製品およびソリューションに関する見通し、Lakeraの機能を活用し統合する当社の能力、エンドツーエンドのAIセキュリティスタックを提供する当社の能力、チェック・ポイントの新たなGlobal Center of Excellence for AI Security設立に関する記述、そして買収の完了に関する記述が含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2025年3月17日にアメリカ合衆国証券取引委員会に提出した年次報告書(フォーム20-F)を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp
プレスリリース提供:PR TIMES
記事提供:PRTimes
