_Insikt Group®のリサーチャーは、Recorded Future Network Traffic AnalysisやRecorded Future Domain Analysisなどの独自の手法と一般的な分析手法を用いて、イランのサイバースパイ脅威アクターであるAPT33(Elfin)をプロファイリングし、2019年3月のTTPの公開が業務に影響を与えたかどうかを判断しました。

データソースには、Recorded Future® Platform、Farsight SecurityのDNSDB、ReversingLabs、VirusTotal、Shodan、および一般的なOSINT技術が含まれます。

このレポートは、中東の地政学に関心のある人々だけでなく、中東に拠点を置く組織や、航空宇宙・防衛、エネルギー、金融、電気通信、製造など、APT33が対象とする産業のネットワーク擁護者にとっても、最も興味深いものとなるでしょう。

この調査は、2019年2月10日から2019年6月6日の間に収集されたデータに基づいています。

Executive Summary

米国とイランは緊張をエスカレートさせ続けており、最近ではホルムズ海峡だけでなくサイバー領域でもレトリックや行動を加速させている。過去3か月間、Recorded FutureのInsikt Groupは、APT33(Elfinとしても知られる)のインフラストラクチャ構築と標的活動の増加を観察しており、2019年6月21日、 Yahoo!ニュース は、米国サイバー軍が「イランのスパイグループ」に対してサイバー攻撃を開始したと報じました。

イラン国家が支援する脅威アクター APT33 は 少なくとも 2013 年からサイバースパイ活動を行っており、主に中東諸国を標的にしていますが、特に米国、韓国、ヨーロッパのさまざまな分野にわたる商業エンティティも標的にしています。

Insikt Group研究者Recorded Future Recorded Future、最近報告されたイランの脅威アクターAPT33のドメインとホスティングインフラストラクチャをプロファイリングし、最近の活動を特定し、グループの手口、戦術、技術、手順(TTP(戦術・技術・手順))をよりよく理解するために、 ドメイン分析や ネットワークトラフィック分析などの独自の手法を他の一般的な分析アプローチとともに使用しました。

当社の調査によると、APT33(密接に連携した脅威アクター)は、2019年3月28日以降、1,200以上のドメインが使用され、コモディティマルウェアの使用に重点を置いており、広範なサイバースパイ活動の実施と準備を続けています。 コモディティマルウェアは、大規模なコンピュータネットワーク運用を行い、他の脅威アクターの活動のノイズの中に隠れて、アトリビューションの取り組みを妨げたいと考えている国家規模の脅威アクターにとって魅力的なオプションです。

主にサウジアラビアのさまざまな業界の組織を 標的にしていること は、このグループの歴史的な標的パターンと一致しており、その活動が以前に暴露された後もひるむことはないようです。歴史的にAPT33の標的となってきた業界の西側諸国とサウジアラビアの公共部門と民間部門の組織は、地政学的な動向を監視し、特にフィッシングキャンペーン、Webシェル、およびサードパーティベンダーとサプライヤーの関係からの初期不正アクセスの検知と復旧に焦点を当てて、運用セキュリティ制御の監視を強化する必要があります。 さらに、リアルタイムのセキュリティインテリジェンスを使用して、内部ネットワークおよびホストベースのテレメトリにおける(脅威の)ハンティングを改善する必要があります。

主な判断

• 2019年3月下旬に 発表された運用 に対応して、APT33の疑いのあるアクティビティに関連するドメインは、パークまたは新しいホスティングプロバイダーに変更されました。
• APT33、または密接に連携した脅威アクターは、C2ドメインを一括で制御し続けています。
  • 2019年3月28日以降だけでも、1,200以上のドメインが使用されています。
  • これらのうち728人は、感染した宿主と通信していることが確認されました。
  • 728のドメインのうち575のドメインは、ほとんどが公開されている19のRATの1つに感染したホストと通信していることが確認されました。
• マルウェアファミリーに分類された疑わしいAPT33ドメインのほぼ60%は、以前はAPT33の活動に関連付けられていなかったRATであるnjRAT感染に関連していました。 AdwindRATやRevengeRATなどの他のコモディティRATマルウェアファミリーも、APT33ドメインの活動の疑いに関連していました。
• 私たちは、APT33、または密接に連携した脅威アクターが、3月下旬の開示以降、以下の組織を標的にしていると中程度の確信度で評価しています。
  • サウジアラビアに本社を置き、エンジニアリングおよび建設、公益事業、テクノロジー、小売、航空、金融セクターで事業を展開するコングロマリット
  • サウジアラビアの2つの医療機関
  • 金属産業におけるサウジアラビアの企業
  • インドのマスメディア企業
  • 外交機関からの代表団
• ナスル研究所とカヴォシュ・セキュリティ・グループの間のつながりに関する最近の報告、および技術的およびペルソナ分析は、APT33、APT35、およびMUDDYWATERの間で重複しており、おそらくイランがサイバー作戦を管理するために利用している階層構造の結果であると評価しています。

背景

APT33 は、少なくとも 2013 年からサイバースパイ活動に従事しているイランの国家支援の脅威アクターです。彼らは通常、 コモディティ マルウェア を使用しており、被害者を標的にするために運用を拡張できる広範な ネットワーク インフラストラクチャ を所有しています。歴史的に、このターゲットは航空宇宙産業、防衛産業、石油・ガス産業に焦点を当てており、サウジアラビアに拠点を置く企業に重点が置かれてきました。シマンテックの Elfin レポートでは 、エンジニアリング、化学、研究、金融、IT、ヘルスケアのセクターをさらにターゲットにしていることが示されています。Recorded Futureの Insikt Group は、2017年10月に発表された研究から始まり、APT33の活動を監視しており、脅威アクターに関連する新しいインフラストラクチャ、マルウェアハッシュ、TTP(戦術・技術・手順)が明らかになりました。

脅威分析

2019 年 3 月 27 日、シマンテックは「Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S.」と題する調査結果を発表しました。この報告書は、3年間にわたるAPT33サイバースパイキャンペーンの概要を説明しています。Insikt Groupの研究者は、その調査で提供されたIPアドレスとマルウェアハッシュを使用して、APT33が使用する悪意のあるドメインの追跡分析を実施し、次の2つのことを特定しました。

1. APT33が活動を続けていたかどうか、もしそうなら、出版に応じてTTPを変更したかどうか
2. 公表に値する、以前に報告されていないグループによって行われた歴史的な活動があったかどうか

ナスル研究所とカヴォシュ・リダックス

前回のレポート「イランのハッカー階層が暴露」では、2017年にFireEyeがAPT33の請負業者であるNasr Instituteを暴露したことと、イランのハッカーコミュニティの構成と動機に関する当社の情報から、イランの国家が支援する攻撃的なサイバープログラム内に階層構造があることを指摘していると結論付けました。 我々は、イランの国家支援作戦の多くが、イラン革命防衛隊(IRGC)または情報保安省(MOIS)によって指揮されていると評価した。

以前の調査に情報を提供したInsikt Groupの機密情報源によると、これらの組織は、脆弱性の調査、エクスプロイト開発、偵察、ネットワーク侵入や攻撃の実施などの活動を行う50を超える契約組織の区分化されたタスクを担当する、イデオロギー的に連携したタスクマネージャーの中間層を採用していました。 攻撃的なサイバー能力を開発する際に、これらの個別の各コンポーネントは、包括的な作戦の完全性を保護し、IRGCおよび/またはMOISが作戦の制御を維持し、不正なハッカーからのリスクを軽減するために、意図的に異なる契約グループに割り当てられました。

攻撃作戦へのイラン政府の関与を曖昧にしている。

FireEyeはまた、2017年のレポートで、APT33 TURNEDUPバックドアサンプルのPDBパス内で見つかったオンラインハンドル「xman_1365_x」がNasr Instituteの個人のものであると指摘しました。その後、同じハンドルが NewsBeef および StoneDrill マルウェア ファミリを使用した破壊的な操作にリンクされました。その後、2017 年 3 月、研究者らは StoneDrill を Shamoon 2 作戦と APT35 (Charming Kitten、Newscaster、NewBeef とも呼ばれます) の脅威アクターと 結びつけ ました。

以前の分析では、「xman_1365_x」の背後にいる人物が、イランのハッキングフォーラムでマシュハド出身のマフディ・ホナルヴァルと自認していることが示されており、2017年頃からカヴォシュセキュリティセンターにも所属していたと推測されています。

イランのサイバーエコシステムにおけるカヴォシュの役割は、カヴォシュが2006年から2014年にかけて「ニマ・ニクジュー」の雇用主であったことを詳述したGroup-IBの 最近の分析 によってさらに明らかになった。彼らの分析では、トルコの軍用電子機器メーカーを標的とした2019年3月のキャンペーンは、別のイランの脅威アクターであるMUDDYWATERによって行われたと結論付けました。MUDDYWATERは、著者が「Gladiyator_CRK」であることを示すメタデータを含むマルドックで急増したPOWERSTATSバックドアを使用し、名前は「Nima」である可能性があります。さらに、ナスル研究所に雇用されているとされる個人の名前と電子メールアドレスを暴露した2014年のブログでは、関連が疑われる電子メールアドレス「[email protected]」が「ニマ・ニクジュー」と訳される「نیما نیکجو」に関連付けられていた。ペンネーム「0xffff0800」が執筆した別の研究ブログは、これらの調査結果の一部を裏付け、「ニマ・ニクジュ」が「ニマ・ニクジュ・タブリジ」であることを明らかにした。

APT33の脅威アクターと疑われるNima Nikjoo TabriziのLinkedInプロフィール写真。 (2019年6月14日閲覧)

ニマ・ニクジュー・タブリージとは?

OSINTは、Nima Nikjoo Tabriziの名前でアクティブなLinkedinアカウントと他のアクティブなソーシャルメディアアカウントがあることを明らかにし、彼がSymantecのリバースエンジニアおよびマルウェアアナリストであると主張しています。 しかし、SymantecはRecorded Futureに対し、Tabriziが彼らのために働いたことは一度もないことを確認した。

「私たちは長い間、この人物のことを知っていました。 Nima Nikjooはシマンテックの従業員ではなく、シマンテックでこの名前の個人が働いていたという記録はありません。」

政府機関であるナスル研究所と、イラン国家が支援するサイバースパイ活動と強い関係にある カヴォシュセキュリティセンターで働いていたことが暴露されたことから、タブリジがイラン国家に代わってサイバースパイ活動に関与していると高い確信を持って評価します。

APT33の脅威アクターと疑われるNima Nikjoo Tabriziの職歴。

この情報に基づくと、ナスル研究所がイランの国家支援による攻撃的なサイバー活動の隠れ蓑であることが暴露されると、従業員は自分の身元を保護し、さらなる曝露を最小限に抑えるために、カヴォシュなどの他の組織に移行した可能性があります。 2017年にマフディ・ホナルヴァルとカヴォシュ・セキュリティ・センターとのつながりが明らかになるまで、ナスル研究所に関連する暴露は広く報告されていませんでした。 したがって、技術情報と個人情報の重複は、脅威アクターAPT33、APT35、およびMUDDYWATER間の歴史的なつながりを示していると評価しています。

イランの脅威アクター間でのこれらの技術的およびペルソナの重複は、イランのサイバー作戦の国家管理の階層構造を考えると、予想外のことではありません。この構造の中で、管理者は複数のチームを運営しており、その一部は政府機関に関連付けられており、他の一部は契約している民間企業 ( ITSec チームなど) であると評価しました。

技術的分析

APT33 クリーンアップ?

シマンテックが文書化したAPT33指標から始めて、Insikt Groupは、Recorded Futureプラットフォーム内のFarsight Security拡張機能を使用して、グループが使用するドメインとホスティングインフラストラクチャをプロファイリングし、一部のドメインの更新されたIP解像度を明らかにしました。

予想どおり、元のシマンテックレポートで公開されたドメインの多くは、パークされているか、実際の IPv4 アドレスに解決されなくなりました。 興味深いことに、元のドメインのうち4つ(backupnet.ddns[.]網 hyperservice.ddns[.]網 servhost.hopto[.]組織 および srvhost.serveHttp[.]com) は、すべて公開の翌日に更新され、同じIPアドレス(95.183.54[.]119. このIPは、スイスの専用ホスティングプロバイダーであるSolar Communications GmBHに登録されています。 これらのドメインが同様に駐車されなかった理由は不明です。 考えられる理由は次のとおりです。

• これらのドメインは、脅威アクターによって高い価値があると判断されたため、継続的な運用目的で保持されました。
• 運営者は、管理上の理由からドメインを更新するのに苦労したか、更新できませんでした。

™ microsoftの更新[.]com、 Farsight Security 拡張機能を使用して強化されます。

関連する可能性のある追加のインフラストラクチャを特定するために、スイスのIPアドレス95.183.54[.]119のドメインと、2019年2月中旬以降に新たにIPに解決された約40のドメインを特定しました。 選択したドメインからのRATマルウェア通信を確実に特定しました。

さらに、スイスの IP に解決されたドメインの多くは、XTreme RAT、xtreme.hopto[.]組織および njRAT ( njrat12.ddns[.]ネット)、Netcat (n3tc4t.hopto[.]com)に入力します。興味深いことに、 BistBots (bistbotsproxies.ddns[.]ネット)同じIPで共同ホストされた。これは、最新の高速インターネット プロキシを求める BistBot のユーザーをターゲットにし、ネットワーク フィルタリングを回避し、イランで制限されている Facebook、Twitter、YouTube などのサイトにアクセスしたいと考えている可能性が高いと判断します。

windowsx.sytes[.]網 njrat12.ddns[.]網 およびwwwgooglecom.sytes[.]網 は、NanocoreとnjRATのC2™として分類されていることを示しています。 詳細な情報は、マルウェアマルチスキャナーリポジトリからのハッシュレポートと、ドメインへの直接参照を含むマルウェアの爆発から導き出された相関関係です。

興味深いことに、シマンテックの調査ではAPT33がNanocoreを使用していることが指摘されていますが、njRATは言及されておらず、グループの増え続けるコモディティマルウェアのレパートリーにこれまで知られていなかったものが追加されていることを示しています。

Recorded Future Intelligence Card™ for windowsx.sytes[.] のコンテキスト パネル網 ドメインとNanocore RATマルウェアの関係を示しています。

以下のMaltegoのグラフは、スイスのIPでホストされている選択されたドメインのリンク分析と、マルウェアファミリ名に関連付けられた派生ハッシュを示しています。

既知の悪意のあるAPT33にリンクされたIPでホストされているドメインのMaltegoグラフ。

インフラストラクチャの相関関係の深化

Insikt Groupは、2019年1月以降にAPT33によって使用されたと報告されたすべてのドメインを列挙しました。 パッシブDNSや同様のアプローチを使用した一般的なインフラストラクチャホスティングパターンをピボットして、APT33の疑いのあるインフラストラクチャをさらに特定しました。

予備的な分析では、シマンテックが文書化したキャンペーンの背後にいるのと同じAPT33攻撃者によって管理されている可能性が高い1,252の一意の相関ドメインが特定されました。 これらのうち、728のドメインが感染したホスト上のファイルと通信していると特定され、そのうち575はRATマルウェアファミリと正の相関関係がありました。 残りの153のドメインは、AVエンジンのヒットに基づいて悪意のあるものとして識別されましたが、特定のマルウェアファミリに自動的に分類することはできませんでした。

編集者注:疑わしいAPT33ドメインに接続されているドメイン、ハッシュ、および関連するIPアドレスインフラストラクチャの選択は、まもなく「Weaponized Domains」と呼ばれる特殊な認定データセットでRecorded Futureのクライアントに提供され、企業はダイナミックDNS(DDNS)ドメインを含む悪意のある無料/匿名インフラストラクチャとの相互作用を規制できるようになります。

APT33マルウェアの使用が疑われる円グラフ。

2019年3月28日以降の、これらの疑わしいAPT33ドメインとそれに関連するマルウェアファミリーのトップレベルの活動の内訳によると、ドメインの60%がnjRATマルウェアを使用しており、他のさまざまなコモディティツールが使用されていることが明らかになりました。 合計で1,804の固有のマルウェアハッシュが分析され、以下に示す19のマルウェアファミリに分類されました。

この表と添付のグラフから、APT33、または密接に連携した脅威アクターは、コモディティマルウェアと公開されているツールを継続的に使用しており、njRAT、RevengeRAT、AdwindRATなど、これまで脅威アクターに関連していると報告されていなかったいくつかのマルウェアファミリーを追加していることがわかりました。 サンプルのかなりの割合(25%)は、悪意があると見なされましたが、さらなる手動の静的分析を保証するのに十分な信頼性で決定的に分類できない一般的なコードが含まれていました。 今後の分析では、これらのサンプルに引き続き注力していきます。

ドメインの多くは、Microsoft や Google などのなりすましのグローバル テクノロジー プロバイダーや、ビデオ会議プロバイダーの Zoom などのビジネス指向の Web ベースのサービスを発見しました。地政学をテーマにしたドメインも、vichtorio-israeli.zapto[.]組織(イスラエルに勝利)、fucksaudi.ddns[.]comと palestine.loginto[.]私。ホスト名の選択は、イラン・イスラム共和国の敵とみなされている国、特にイスラエル、サウジアラビア、および より広範な湾岸協力会議 (GCC)諸国に対するAPT33作戦の標的パターンについての洞察を提供する可能性がある。

疑わしいAPT33悪意のあるドメインと相関するハッシュの選択。 記録された将来のクライアントは、APIダウンロードを介して認定データセットのドメインの完全なリストにアクセスできるようになります。

対象組織

Insikt Groupの研究者は、Recorded Future Domain Analysisのデータを使用し、Recorded Future Network Traffic Analysisから得られたデータと組み合わせることで、APT33の活動が疑われる標的となりそうな組織を特定することができました。

今後の展望

今年初めにシマンテックが幅広いインフラストラクチャと運用を公開した後、APT33(密接に連携したアクター)が、ドメインインフラストラクチャの一部を一時停止または再割り当てすることで対応していることを発見しました。 この活動がレポート公開からわずか1日ほど後に実行されたという事実は、イランの脅威アクターが自分たちの活動に関するメディアの報道を鋭敏に認識しており、迅速に対応できるほど機知に富んでいることを示唆しています。

3月下旬以降、APT33の脅威アクターと疑われる人物は、1,200ドメインをはるかに超える大規模な運用インフラストラクチャを使用し続けており、その多くが19種類のコモディティRATインプラントと通信していることが確認されています。 興味深い展開は、njRATに対する彼らの嗜好の高まりのようで、観察された疑わしいAPT33インフラストラクチャの半分以上がnjRATの展開に関連しています。

以前に報告されたAPT33の作戦のように、営利団体や地域の敵対者を広く標的にすることは観察されていませんが、私たちが観察した標的組織は、主にサウジアラビアのさまざまな業界に拠点を置いており、地政学的な目的に沿った継続的な標的が行われていることを示しています。 私たちの研究で発見された大量のインフラストラクチャは、より広範な継続的な運用活動、または将来のサイバースパイ活動の基礎を築くことを示している可能性が高いと評価しています。 組織は、APT33 の活動が疑われる証拠がないか、以下の「ネットワーク防御に関する推奨事項」セクションのガイダンスに従って、ネットワークを監視する対策を講じることをお勧めします。

最後に、Recorded Futureのクライアントへの推奨事項は、悪意のあるAPTインフラストラクチャの特定を支援する予測分析から導き出された、今後の「Weaponized Domains」認定データセットを使用することです。 これは、セキュリティ チームが忠実度の高い悪意のあるインジケーターを大規模にハンティング、検出、ブロックできるようにすることを目的としています。

ネットワーク防御に関する推奨事項

Recorded Futureは、APT33の疑わしい活動を検出して軽減するために、組織が次の対策を講じることを推奨しています。

• 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、付録 A にリストされている外部 IP アドレスとドメインからの不法な接続の試みを警告し、確認した上でブロックを検討してください。
• APT33に関する以前のブログで詳しく説明したように、クライアントのみが利用できるダイナミックDNS(DDNS)は、セキュリティ制御の実装に関連する運用上のチョークポイントであり続けています。DDNS サブドメインを含むすべての TCP/UDP ネットワーク トラフィックをブロックし、ログに記録する必要があります ( DNS RPZ などを使用)。
• 付録 B にリストされている新しいルールについて、企業全体で定期的な Yara スキャンを実行します。