Predator Spyware Operators がモバイル デバイスを標的にするために多層インフラストラクチャを再構築

Predator Spyware Operators がモバイル デバイスを標的にするために多層インフラストラクチャを再構築

insikt-group-logo-updated-3-300x48.png

Recorded FutureのInsikt Groupの新しい調査では、Cytroxが開発し、現在はIntellexa Allianceが管理している傭兵モバイルスパイウェアPredatorのオペレーターに関連して新たに発見されたインフラストラクチャを調査しています。このインフラストラクチャは、アンゴラ、アルメニア、ボツワナ、エジプト、インドネシア、カザフスタン、モンゴル、オマーン、フィリピン、サウジアラビア、トリニダード・トバゴなど、少なくとも11か国で使用されていると考えられています。特に、ボツワナとフィリピンの顧客が公に特定されたのは今回が初めてです。Predatorは、テロ対策や法執行機関として販売されているにもかかわらず、ジャーナリスト、政治家、活動家を標的に、市民社会に対してしばしば使用されてきました。今回の活動では具体的な被害者や標的は特定されていません。

Multi-Tier Predator Delivery Network Architecture(出典:Recorded Future)
Multi-Tier Predator Delivery Network Architecture(出典:Recorded Future)

リスクの理解とセキュリティのベストプラクティスの実装

Predatorのようなスパイウェアの使用は、特に重大犯罪やテロ対策の分野以外で使用される場合、プライバシー、合法性、身体の安全に重大なリスクをもたらします。ほとんどの悪用事件は市民社会を標的にしていますが、スパイウェアの悪用で知られる地域の他の組織や個人は、業界や場所に関係なく、リスクを常に認識しておく必要があります。高い展開コストと感染あたりの費用を考えると、大きなインテリジェンス価値を持つと予想される経営幹部などの知名度の高い個人が標的にされる可能性が高くなります。欧州連合は最近、加盟国間での傭兵スパイウェアの悪用を抑制するための措置を講じました

新たな企業や製品の登場により傭兵スパイウェアの市場が拡大するにつれ、これらのツールや同様の機能にアクセスできる組織が関心を持つすべての人が標的となるリスクが拡大します。継続的な収益性、競争の激化、ITセキュリティの強化を踏まえると、技術の革新が、工場出荷時のリセットによる持続性などのより密かな感染方法、クラウドバックアップのような新しいターゲット、より専門化されたスパイウェアのエコシステム、より幅広い製品ポートフォリオにつながる可能性があります。したがって、効果的な緩和戦略には、生態系の綿密な監視、徹底したリスク評価、政策立案者によるより厳しい規制が伴わなければなりません。

緩和戦略

これらのリスクを軽減するために、組織や個人は、定期的な電話の更新、デバイスの再起動、ロックダウンモード、モバイルデバイス管理システム、個人と企業のデバイスの分離など、セキュリティのベストプラクティスに従うことをお勧めします。 セキュリティ意識向上トレーニングと最小限のデータ漏洩文化も重要です。 長期的な解決策には、動的なセキュリティポリシーを開発するためのリスク評価の実施が含まれます。 傭兵スパイウェア市場が拡大するにつれて、リスクは市民社会を超えて、これらのツールにアクセスできる団体が関心を持つすべての人にまで及びます。 この分野のイノベーションは、よりステルスで包括的なスパイウェア機能につながる可能性があります。

Insikt Groupの調査から得られた主な知見には、新しい多層型のPredatorデリバリーインフラストラクチャの発見が含まれ、少なくとも11カ国でPredatorが引き続き使用されている可能性が高いことを示しています。この結論はRecorded Future Network Intelligenceのドメイン分析と洞察によって裏付けられています。2023年9月に一般公開されたにもかかわらず、Predatorの運営者は最小限の変更で運営を続けています。PredatorはNSO GroupのPegasusと並ぶ傭兵スパイウェアの主要なプロバイダーであり、その戦術、技術、手順は長期にわたって一貫しています。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

注:本レポートの概要は2024年3月1日に発表され、2024年10月30日に更新されました。当初の分析と調査結果に変更はありません。

侵害の兆候

ドメイン:
02s[.]co
06g[.]co
09a[.]co
2-gis[.]kz
astanapark[.]com
beroxe[.]com
buildneeds[.]net
bw-guardian[.]com
cabinet-salyk[.]kz
centent-management[.]net
clazc[.]com
coazoa[.]com
copy-note[.]net
corporatebusinesssolution[.]net
dzhabarzan[.]com
e-kgd[.]kz
ehudaldaa[.]com
escortbabesluxo[.]com
eventnews[.]live
fast-notify[.]com
fastnews[.]biz
fr-monde[.]com
gabzmus[.]com
get-location[.]com
get-location[.]net
highclub[.]life
informationrank[.]net
jumia-egy[.]com
kapital-news[.]com
kejoranews[.]net
kollesa[.]com
krisha-kz[.]com
kroal[.]com
ladiesclubhouse[.]com
lusofonia-mundo[.]com
magnum-kz[.]com
mastershop[.]biz
mb-ph[.]net
mmegi[.]co
msbsck[.]com
mujmbosnoticias[.]com
mundodenoticias[.]online
myfawry[.]net
nospam[.]kz
notify-service[.]biz
nur-news[.]com
olimpbets[.]kz
ongsworld[.]com
pelovkin[.]com
people-beeline[.]com
peticaonline[.]comv
plastictoysworld[.]com
plinkypong[.]com
post-notify[.]info
qazsporttv[.]com
rcuples[.]com
rozavetrovv[.]com
schedulefestival[.]com
shoxtek[.]com
soccer-bw[.]com
spacsaver[.]info
sportnow[.]news
suarapapua[.]co
sustanbuild[.]com
thintank[.]co
tickets-kz[.]com
tobupmi[.]com
tohna[.]net
ulstur[.]co
vendaswebs[.]com
vestinfo[.]net
vestinfo[.]org
vestinfos[.]net
vinho-online[.]com
vlast-news[.]com
walatparez[.]com
weekendcool[.]com
yo-um7[.]com
zakorn[.]com
zikolo[.]net
ztb-news[.]com

IP Addresses:
2.58.15[.]58
5.39.221[.]36
5.39.221[.]47
5.39.221[.]48
5.255.88[.]172
23.137.248[.]95
37.120.222[.]115
45.129.0[.]125
45.148.244[.]5
45.86.163[.]77
45.86.163[.]93
46.246.97[.]245
46.249.49[.]230
46.30.190[.]98
79.110.52[.]179
79.110.52[.]196
79.137.199[.]216
79.141.175[.]146
84.247.51[.]14
84.247.51[.]18
85.17.9[.]21
85.17.9[.]73
85.17.9[.]74
85.239.34[.]174
87.121.45[.]29
87.121.45[.]42
87.121.45[.]45
88.119.161[.]135
91.241.93[.]165
95.141.34[.]222
98.142.254[.]112
101.99.75[.]197
141.94.122[.]19
146.70.158[.]144
146.70.161[.]50
158.58.172[.]3
164.215.103[.]143
164.215.103[.]20
169.239.128[.]137
169.239.129[.]48
169.239.129[.]63
169.239.129[.]76
169.255.59[.]98
176.124.198[.]52
176.124.198[.]55
185.113.8[.]67
185.113.8[.]83
185.117.91[.]165
185.117.91[.]237
185.130.227[.]29
185.130.227[.]88
185.130.227[.]95
185.130.45[.]34
185.130.46[.]165
185.130.46[.]202
185.156.172[.]17
185.156.172[.]20
185.156.172[.]48
185.158.248[.]131
185.158.248[.]85
185.196.9[.]76
185.212.47[.]75
185.219.220[.]99
185.219.221[.]30
185.62.58[.]107
185.66.140[.]112
192.46.237[.]163
193.168.143[.]111
193.168.143[.]116
193.168.143[.]184
193.168.143[.]185
193.233.161[.]137
193.233.161[.]163
193.29.104[.]13
193.29.104[.]5
193.29.104[.]83
193.29.59[.]171
193.42.36[.]106
193.42.36[.]84
212.237.217[.]127
213.252.246[.]152

プレデター配信サーバー

ドメイン
IPアドレス
最初の発見日
最終表示
06グラム[.]共
185.130.227[.]29
2023-12-22
2024-02-21
02秒[.]共
185.130.227[.]95
2023-12-22
2024-02-21
spacsaver[.]情報
45.148.244[.]5
2023-11-30
2024-02-20
09a[.]共
5.39.221[.]36
2023-12-22
2024-02-21
ongsworld[.]コム
146.70.158[.]144
2023-11-16
2024-02-21
fr-monde[.]コム
169.239.129[.]76
2023-12-15
2024-02-20
ルソフォニア・ムンド[.]コム
169.239.129[.]63
2023-12-15
2024-02-17
レディースクラブハウス[.]コム
169.239.129[.]48
2023-12-15
2024-02-18
vinho-online[.]コム
169.239.128[.]137
2023-12-15
2024-02-17
ヴェンダスウェブ[.]コム
185.158.248[.]131
2023-11-16
2024-02-17
ムンドデノティシアス[.]オンライン
185.196.9[.]76
2023-11-16
2024-02-17
ムジンボスノティシアス[.]コム
185.212.47[.]75
2023-11-02
2024-02-21
soccer-bw[.]コム
185.130.46[.]165
2023-11-22
2024-02-17
mmegi[.]共
45.129.0[.]125
2023-11-22
2024-02-16
bw-guardian[.]コム
95.141.34[.]222
2023-11-19
2024-02-17
yo-um7[.]コム
185.130.46[.]202
2023-11-29
2024-02-17
sustanbuild[.]コム
193.29.104[.]5
2023-11-25
2024-02-17
myfawry[.]網
2.58.15[.]58
2023-12-14
2024-02-20
ジュミア・エジ[.]コム
79.110.52[.]196
2023-12-14
2024-02-17
スアラパプア[.]共
158.58.172[.]3
2023-12-01
2024-01-29
kejoranews[.]網
185.158.248[.]85
2023-12-07
2024-02-15
nospam[.]KZの
176.124.198[.]52
2023-12-28
2024-02-13
オリンプベッツ[.]KZ
176.124.198[.]55
2023-12-28
2024-02-13
vlast-ニュース[.]コム
185.156.172[.]20
2023-12-08
2024-02-16
ztb-ニュース[.]コム
185.156.172[.]17
2023-12-08
2024-02-17
キャビネット・サリク[.]KZの
185.156.172[.]48
2023-12-15
2024-02-21
ジコロ[.]網
193.168.143[.]116
2023-11-11
2024-02-14
マグナム-kz[.]コム
45.86.163[.]93
2023-12-08
2024-02-20
チケット-kz[.]コム
45.86.163[.]77
2023-12-10
2024-02-17
people-beeline[.]コム
5.39.221[.]47
2023-12-14
2024-02-17
ロザヴェトロフ[.]コム
5.39.221[.]48
2023-12-14
2024-02-17
2-gis[.]KZ
79.137.199[.]216
2023-12-28
2024-02-20
e-kgd[.]KZの
85.17.9[.]21
2023-12-15
2024-02-17
資本ニュース[.]コム
85.17.9[.]73
2023-12-14
2024-02-19
NUR-ニュース[.]コム
85.17.9[.]74
2023-12-14
2024-02-21
アスタナパーク[.]コム
87.121.45[.]42
2023-12-11
2024-02-16
クリシャ・kz[.]コム
88.119.161[.]135
2023-11-26
2024-02-17
ehudaldaa[.]コム
84.247.51[.]14
2023-12-23
2024-02-20
ウルストゥール[.]共
84.247.51[.]18
2023-12-25
2024-02-20
MB-PH[.]網
193.42.36[.]106
2023-12-07
2024-02-21
ビルドニーズ[.]網
141.94.122[.]19
2023-11-21
2024-02-17
スポーツナウ[.]ニュース
185.113.8[.]67
2023-11-11
2024-02-19
企業ビジネスソリューション[.]網
193.168.143[.]184
2023-11-25
2024-02-09
情報ランク[.]網
193.168.143[.]185
2023-11-25
2024-02-17
centent-management[.]網
193.29.59[.]171
2023-11-21
2024-02-09
ハイクラブ[.]生命
46.249.49[.]230
2023-11-11
2024-02-21
vestinfos[.]網
185.130.45[.]34
2023-12-22
2024-02-09
場所の取得[.]網
46.246.97[.]245
2023-12-21
2024-02-08
vestinfo[.]組織
79.141.175[.]146
2023-12-22
2023-12-22
イベントニュース[.]住む
185.219.221[.]30
2023-12-04
2024-02-08
get-location[.]コム
192.46.237[.]163
2023-12-04
2024-02-20
vestinfo[.]網
87.121.45[.]29
2023-12-04
2024-02-17
薄いタンク[.]共
5.255.88[.]172
2023-10-25
2024-01-20
ファストニュース[.]ビジネス
101.99.75[.]197
2023-11-17
2024-02-18
プリンキーポン[.]コム
146.70.161[.]50
2023-11-29
2024-02-17
ペティカオンライン[.]コム
164.215.103[.]143
2023-11-27
2024-02-17
エスコートバベスルクソ[.]コム
164.215.103[.]20
2023-11-03
2024-02-13
コアゾア[.]コム
169.255.59[.]98
2023-11-01
2024-02-19
ウィークエンドクール[.]コム
185.113.8[.]83
2023-11-18
2024-02-14
qazsporttv[.]コム
185.117.91[.]237
2023-12-14
2024-02-17
ペロフキン[.]コム
185.117.91[.]165
2023-11-29
2024-02-14
プラスチックトイズワールド[.]コム
185.130.227[.]88
2023-11-28
2024-02-17
トーナ[.]網
185.219.220[.]99
2023-11-02
2024-02-10
notify-service[.]ビジネス
185.62.58[.]107
2023-11-16
2024-02-01
コピーノート[.]網
185.66.140[.]112
2023-11-29
2024-01-31
ザコーン[.]コム
193.168.143[.]111
2023-11-10
2024-02-17
ワラトパレス[.]コム
193.233.161[.]137
2023-12-09
2024-02-17
tobupmi[.]コム
193.233.161[.]163
2023-11-14
2024-02-16
ガブズムス[.]コム
193.29.104[.]13
2023-11-14
2024-02-17
msbsck[.]コム
193.29.104[.]83
2023-11-16
2024-02-17
マスターショップ[.]ビジネス
193.42.36[.]84
2023-11-17
2024-02-11
コレサ[.]コム
212.237.217[.]127
2023-11-10
2024-02-17
スケジュールフェスティバル[.]コム
213.252.246[.]152
2023-11-16
2024-02-18
post-notify[.]情報
23.137.248[.]95
2023-11-17
2024-02-17
ジャバルザン[.]コム
37.120.222[.]115
2023-12-08
2024-02-21
shoxtek[.]コム
46.30.190[.]98
2023-11-23
2024-02-12
fast-notify[.]コム
79.110.52[.]179
2023-12-09
2024-02-19
clazc[.]コム
85.239.34[.]174
2023-11-24
2024-02-17
ベロックス[.]コム
87.121.45[.]45
2023-12-09
2024-02-21
kroal[.]コム
91.241.93[.]165
2023-12-08
2024-02-19
rcuples[.]コム
98.142.254[.]112
2023-11-28
2024-02-02

MITRE ATT&CK TTPs

戦術:手法
ATT&CKコード
リソース開発: インフラストラクチャの取得:ドメイン
T1583.001
リソース開発: インフラストラクチャの取得:仮想プライベートサーバー
T1583.003
リソース開発: インフラストラクチャの取得: サーバー
T1583.004
初期アクセス: スピアフィッシングリンク
T1566.002
実行: クライアント実行のためのエクスプロイト
T1203