このレポートは、脅威アクティビティグループTAG-53が使用するインフラストラクチャをプロファイリングし、Callisto Group、COLDRIVER、SEABORGIUMの公開レポートと重複しています。 この活動は、ネットワークインテリジェンスとオープンソースのレポートから得られた分析の組み合わせによって特定されました。 この報告書は、ネットワーク防御者や、サイバースペースにおけるロシア国家の活動に関連する戦略的および運用上の情報に従事する個人にとって最も興味深いものになるでしょう。

Executive Summary

2022年7月以降、Recorded FutureのInsikt Groupは、脅威活動グループTAG-53による同様のインフラストラクチャの繰り返しの使用を観察しました。 この新たに発見されたインフラは、ロシアの国益に沿った活動に関連しているとされる、これまでCallisto Group、COLDRIVER、SEABORGIUMが関与していた他のインフラ戦術、技術、手順(TTP)と重複している可能性が高い。

Insikt Groupは、Let's Encrypt TLS証明書とともに特定のパターン構造を採用したドメイン名の使用、ホスティングプロバイダーの特定のクラスターの使用、自律システムの小さなクラスターの使用など、インフラストラクチャをキュレーションする際に、TAG-53による一般的な特性の繰り返しの使用を観察しました。

TAG-53インフラストラクチャには、米国の正規の軍事兵器およびハードウェアサプライヤーを装ったなりすましのMicrosoftログインページが含まれていることが判明し、一部のTAG-53インフラストラクチャがすでに運用されている可能性が高いことを示唆しています。 重複するTAG-53キャンペーンに関する過去の公開報告に基づくと、このクレデンシャルハーベスティングアクティビティは、フィッシングによって部分的に有効になっている可能性があります。

主な判断

• Insikt Groupは、ロシアの脅威活動グループが疑われるCallisto Group、COLDRIVER、SEABORGIUMに関連する可能性が高いグループであるTAG-53が使用する新しいインフラストラクチャを特定しました。
• 特定されたTAG-53インフラストラクチャは、特定のドメインレジストラの使用、Let's Encrypt TLS証明書の使用、自律システムの小さなクラスターなど、共通の特徴を備えています。 TAG-53のドメインのほとんどは、特定のスタイル構造を使用しています。
• TAG-53は、政府、諜報機関、軍事産業に特に重点を置いて、複数の業界にわたって組織になりすましたドメインを使用してきました。

背景

TAG-53は、Callisto Group、COLDRIVER、SEABORGIUMに起因するインフラストラクチャーとの重要な特徴とクロスオーバーを持つインフラストラクチャを設定する際に一貫しています。 このグループは、悪意のあるドメインを登録する際に、自律システムの小さなクラスターに存在するIPアドレスを持つ特定のドメインレジストラを使用するとともに、特定のスタイル構造を使用し続けています。

2022年8月15日、Googleの脅威分析グループ(TAG)およびプルーフポイントの脅威調査チームと共同で公開されたMicrosoft のレポート では、SEABORGIUMのフィッシング活動が詳細に説明されています。 この調査でMicrosoftは、SEABORGIUMがロシアに由来し、「ロシアの国家的利益と密接に一致する目的と被害者学」を持っていると評価しています。 Microsoftは、SEABORGIUMの共有がCallisto Group、TA446、およびCOLDRIVERと重複していることを示しており、脅威アクターが侵入やデータ盗難につながった持続的なフィッシングおよび資格情報盗難キャンペーンを実行したことを示しています。 SEABORGIUMは、主にNATO諸国をターゲットにしており、特に米国と英国に重点を置いています。 このグループは、2022年2月のロシアによるウクライナへの全面侵攻の準備段階でもウクライナを標的にしていました。

GoogleのTAGは3月に 報告 し、2022年5月に 更新 したCOLDRIVERは、非政府組織やシンクタンク、ジャーナリスト、政府および防衛当局者を標的に、Gmailアカウントを使用してクレデンシャルフィッシングキャンペーンを実施しました。 また、TAGは、COLDRIVERのTTPが時間とともに進化し、GoogleドライブやMicrosoft OneDriveでホストされているPDFやDOCファイルのリンクをフィッシングメールに組み込む方向に進んでいることを示唆しています。

脅威と技術の分析

Insikt Groupは、オープンソースのレポート(1、 2、 3、 4)で提供されるインテリジェンスを使用して、Callisto Group、COLDRIVER、およびSEABORGIUMインフラストラクチャと重複する可能性が高いTAG-53インフラストラクチャをプロファイリングしました。 TAG-53インフラストラクチャは、ドメインレジストラ、自律システム、ドメイン名構造、および関連するTLS証明書の特定の組み合わせを分析することで明らかになりました。 この情報に基づくと、この脅威グループはフィッシングとクレデンシャル ハーベスティングの運用を継続している可能性が高くなります。 Insikt Groupは、TAG-53インフラストラクチャを監視しているときに、米国の正規の軍事兵器およびハードウェアサプライヤーを装ったなりすましのMicrosoftログインページを確認し、一部のTAG-53インフラストラクチャがすでに運用されている可能性が高いことを示唆しています。

レジストラー

Insikt Groupは、2022年1月以降、TAG-53が使用する38の登録ドメインのIPアドレスを、現在のDNS(Domain Name System)レコードとパッシブドメインの両方を使用して解決しました。 付録Aに挙げた特定されたTAG-53ドメインは、2022年半ば以降、ドメイン登録にNameCheap、Porkbun、REG.RU、regwayを使用する傾向が浮き彫りになっていますが、その内訳を図1に示します。 これらのレジストラが好まれる理由は不明ですが、候補のTAG-53インフラストラクチャをプロファイリングする際に有用な指標です。

図1:2022年1月以降にTAG-53が使用したドメインレジストラの内訳(出典:Recorded Future)

自律システム

特定のドメインレジストラの使用と並行して、特定の自律システムの使用があり、TAG-53で収集されたすべてのドメインは、以下の表1に示すMIRhosting(AS52000)とHostwinds(AS54290)にリンクされている2つの自律システム番号(ASN)にかなりの濃度で集中している10の自律システムに存在することがわかりました。

表1:TAG-53リンクドメインのASN詳細の内訳(出典:Recorded Future)

ドメイン名の構造

TAG-53 トラッキングによって発見されたドメインのほとんどは、主にハイフンで区切られた 2 つの用語で構成される、同様の構造のドメイン名を使用しています。オンライン」と書かれています。特定された38のドメインのうち、33のドメインは文体形式「-」を使用していました。(com|online|ru)」と入力します。残りの 5 つのドメインのうち、4 つは類似していることが判明しましたが、3 つの用語と 2 つのハイフンで構成されていました。com」、「ネットワークストレージ株式会社[.]com」、"Land-of-Service[.]com」、および「nonviolent-conflict-service[.]com」と入力します。— 1 にはハイフンが含まれていません — "proxycrioisolation[.]com」と書かれています。しかし、追加の要因により、Insikt Group はこれらのドメインを TAG-53 の残りのインフラストラクチャにリンクすることができました。

図2に示すTAG-53ドメインで見つかった用語の内訳は、ドメイン内で特定の単語が繰り返し使用されていることを強調しており、そのほとんどは一般的な一般的なコンピューティング用語です。

図2:TAG-53のリンクドメインで使用されている用語の内訳(出典:Recorded Future)

X.509 TLS 証明書

特定されたすべてのTAG-53ドメインは、Let's Encryptが提供する対応するX.509 TLS証明書をホストしていることが判明しました(その例を図3に示します)。 Let's Encrypt TLS証明書が広く使用されることで、TAG-53ドメインとインフラストラクチャ間の相関関係がさらに高まり、このアクティビティのクラスタリングが強化されます。

図 3: drive-globalordnance の部分的な X.509 TLS 証明書[.]com(情報源: crt.sh)

標的化と被害者学

発見された38のドメインのうち、9つは、表2に示すように、潜在的な標的組織またはTAG-53が偽装しようとしている可能性のある組織への参照を含んでいました。 これらのテーマドメインを使用する理由は、潜在的なターゲットや被害者に対してより正当に見えるように、実在する実体を模倣しようとする試み以外には、完全には理解されていません。

表2:TAG-53リンクドメインの標的/マスカレードの疑い(出典:Recorded Future)

9つのドメインを分析したところ、7つのドメインは、特にウクライナでの戦争に照らして、ロシアとネクサスの脅威グループが関心を持つ可能性が高い業界に焦点を当てていることが明らかになりました。 2つの外れ値のドメインは、おそらくロシア連邦内務省になりすますことを意図しています。 (MVD)

クレデンシャルハーベスティング

TAG-53 ドメイン "drive-globalordnance[.]com」には、米国の軍事兵器およびハードウェアのサプライヤーである合法的な会社Global Ordnanceのなりすましサインインページが含まれています。 図4に示すスプーフィングされたサインインページは、Global Ordnanceブランドを使用しており、ターゲットがフィッシングされた後の後続のクレデンシャルハーベスティングに使用される疑いがあります。 Global Ordnanceがこのクレデンシャルハーベスティング作戦の意図された標的であるかどうか、またはTAG-53がGlobal Ordnanceスタイルのドメインとなりすましサインインページを使用して、被害者を標的にするための正当なエンティティになりすましているかどうかは不明です。

図4:TAG-53 Global Ordnanceのなりすましサインインページ(出典:URLScan)

軽減策

利用者は、TAG-53に関連する活動を検知し、軽減するために、以下の措置を実施する必要があります。

• 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、付録に記載されている外部 IP アドレスとドメインに対するアラートを発し、確認した上で、接続試行をブロックすることを検討してください。
• Recorded Future は、悪意のあるサーバー構成をプロアクティブに検出し、コマンド アンド コントロール セキュリティ コントロール フィードでそれらをブロックする手段を提供します。 コマンド&コントロールフィードには、TAG-53やその他のロシアの国家支援の脅威活動グループが使用するツールが含まれています。 記録された将来のクライアントは、アクティブな侵入の検出と修復を可能にするために、これらのC2サーバーにアラートを発してブロックする必要があります。
• 記録された将来の脅威インテリジェンス (TI)、サードパーティ インテリジェンス、および SecOps インテリジェンス モジュール ユーザーは、ネットワーク インテリジェンス分析からのリアルタイムの出力を監視して、組織または主要なベンダーやパートナーが関与する標的型侵入アクティビティの疑いを特定できます。
• 組織を偽装するタイポスクワット ドメインなどのドメインの不正使用を、Recorded Future Brand Intelligence (BI) モジュールで監視します。 SecurityTrails 拡張機能は、脅威インテリジェンスモジュールまたはブランドインテリジェンスモジュールを購読しているすべてのお客様が利用できます。 LogoType ソースとアラートは BI モジュール専用ですが、TI モジュールは高度なクエリ ビルダーを介してデータにアクセスできます。
• Recorded Futureの不正ドメインとタイポスクワッティングのプレイブックでは、タイポスクワッティングまたは同様のドメインアラートのトリアージについて説明しています。 アラートをまだ設定していない場合は、インテリジェンス目標ライブラリの「認定アラートのアクティブ化」を参照してください。

今後の展望

Insikt Groupは、TAG-53インフラストラクチャを追跡し続け、グループのクレデンシャルハーベスティング操作が多様化するにつれてTTPの変化を観察しています。 特に、TAG-53による特別に調整されたインフラストラクチャの使用に関して一貫した傾向が現れており、戦略的キャンペーンに同様の手法を長期的に使用していることが強調されています。

読者は、ネットワーク監視、侵入検知システム、ファイアウォール、および関連する境界セキュリティアプライアンスのRecorded Future Platformを介したTAG-53レポートに関連して参照される指標を検出、ブロック、およびハンティングする必要があります。

付録A — 指標

ドメイン

アクセス確認[.]com
許可アクセス[.]com
antibots-service[.]com
blueskynetwork-shared[.]com
botguard-checker[.]com
botguard-web[.]com
チャレンジ識別子[.]com
チェッカーボット[.]com
cija-docs[.]com
cloud-safety[.]オンライン
cloud-us[.]オンライン
dns-cache[.]オンライン
dns-cookie[.]com
dns-mvd[.]ru
docs-web[.]オンライン
drive-control[.]com
drive-globalordnance[.]com
drive-previewer[.]com
drive-us[.]オンライン
dtgruelle-drive[.]com
dtgruelle-us[.]com
encompass-shared[.]com
filter-bot[.]com
goweb-保護する[.]com
guard-checker[.]com
land-of-service[.]com
live-identifier[.]com
mvd-redir[.]ru
network-storage-ltd[.]com
非暴力紛争サービス[.]com
プロキシクリオアイソレーション[.]com
redir-document[.]com
対応-filter[.]com
対応-redir[.]com
sangrail-share[.]com
share-drive-ua[.]com
transfer-record[.]com
umopl-drive[.]com

IPアドレス

23[.]254[.]201[.]243
45[.]66[.]248[.]9
45[.]86[.]230[.]198
45[.]153[.]229[.]79
64[.]44[.]101[.]31
77[.]91[.]126[.]16
77[.]91[.]126[.]35
77[.]91[.]126[.]46
77[.]91[.]126[.]62
77[.]91[.]126[.]64
77[.]91[.]126[.]66
77[.]91[.]126[.]69
77[.]91[.]69[.]109
85[.]239[.]53[.]210
85[.]239[.]60[.]18
85[.]239[.]61[.]49
85[.]239[.]61[.]86
138[.]124[.]187[.]143
138[.]124[.]187[.]222
142[.]11[.]209[.]171
142[.]11[.]209[.]180
142[.]11[.]210[.]53
146[.]19[.]230[.]182
146[.]59[.]102[.]76
185[.]164[.]172[.]128
185[.]164[.]172[.]220
185[.]179[.]188[.]73
185[.]179[.]189[.]32
185[.]179[.]189[.]43
185[.]179[.]189[.]45
192[.]119[.]65[.]114
192[.]119[.]97[.]190
192[.]119[.]112[.]249
192[.]129[.]154[.]225
192[.]236[.]195[.]114
192[.]236[.]193[.]194
193[.]200[.]17[.]102
195[.]246[.]110[.]45

付録B — MITRE ATT&CK手法