ブログ(脅威調査)

APT39:個人情報に焦点を当てたイランのサイバー・スパイ活動グループ

 (1 月 30 日更新):図 1 は、APT39の標的対象をより正確に示すように更新されました。具体的には、オーストラリア、ノルウェー、韓国が削除されました。

2018 年 12 月、ファイア・アイは、幅広く個人情報の窃取に関与するイランのサイバー・スパイ活動グループを、APT39に認定しました。2014年 11 月以降、ファイア・アイはAPT39のアクティビティから組織を保護するために、このグループに関連のあるアクティビティを追跡してきました。ファイア・アイが追跡する他のイランのグループとは異なり、APT39は幅広い個人情報の窃取にフォーカスしており、影響活動破壊攻撃、その他の脅威に関連しています。APT39は個人情報にフォーカスしている可能性があり、それはイラン国家の優先課題に役立つように監視、追跡、偵察行為をサポートしたり、または、将来のキャンペーンを促進するために追加のアクセスとベクトルを潜在的に作成したりすることが目的です。

以前のアクティビティとこの攻撃者が使用する手法をまとめるためにAPT39 が作成され、そのアクティビティの大部分は、公的に「Chafer」と呼ばれるグループにまとまってきました。ただし、さまざまなセキュリティ企業がアクティビティを追跡する方法には差異があり、公的に報告されている内容には違いがあります。APT39は主に、バックドアPOWBATの特定の亜種とともに、バックドアSEAWEEDとCACHEMONEYを活用しています。APT39が標的とする範囲は国際的ですが、そのアクティビティは中東に集中しています。APT39はまず通信分野、次いで旅行業界、ITとハイテク産業をサポートするIT企業を優先しています。図1に、APT39が標的とする国/地域と産業を示します。



図 1:APT39が標的とする国/地域と産業

活動の目的

通信と旅行業界におけるAPT39の焦点は、特定の個人に対する監視、追跡、偵察行為の実施、国家の優先課題に関連した戦略的要件に役立つ商業上または戦略上の目的のため機密情報または顧客データの収集、あるいは将来のキャンペーンを促進するために追加のアクセスとベクトルを作成する意図を示唆しています。政府機関の標的対象は、国民国家の意思決定に利益を与える地政学的データの収集という潜在的な二次的意図を示唆しています。標的とされるデータによって、APT39の重要な使命は標的対象の興味を追跡して監視すること、旅行プランを含めた個人情報の収集、通信会社からの顧客データの収集であるという意見を裏付けられています。

Iran Nexusインジケーター

APT39の活動が、地域的な標的攻撃パターン、たとえば、中東、インフラストラクチャ、タイミング、および APT34への類似点(APT34は「OilRig」として公的に報告されているアクティビティにほぼ一致するグループ)に集中しているパターンに基づいて、イランの国益を支援するために実施されていることについて、ファイア・アイは一定の確信を持っています。APT39とAPT34には、マルウェア配布方法、POWBATバックドアの使用、インフラストラクチャの体系、標的対象の重複と言ったいくつかの類似点がありますが、APT39はPOWBATの異なる亜種が使用されていることから、ファイア・アイではAPT34とは別であると考えています。これらのグループが協働したり、あるレベルでリソースを共有したりすることは可能です。

攻撃のライフサイクル

APT39は、攻撃のライフサイクルのすべての段階で、カスタマイズしたり公開されて使用可能な、さまざまなマルウェアやツールを使用します。

最初の侵害

最初の侵害では、FireEye Intelligenceは、APT39が悪質な添付ファイルやハイパーリンクを含むスピア・フィッシング・メールを活用して、一般的にPOWBATに感染させることを観察しました。APT39は、標的対象に関連する正当なWebサービスや組織を装うために、ドメインを頻繁に登録し、活用します。さらにこのグループは、ANTAK、ASPXSPYなどのWebシェルをインストールするため、対象となる組織の脆弱なWebサーバーを日常的に識別して悪用し、窃取した正当な資格情報を使用して外部アクセス用のOutlook Web Access(OWA)リソースを侵害します。

足場の確立、権限のエスカレーション、内部の予備調査

侵害後、APT39は、SEAWEED、CACHEMONEY、POWBATの固有の亜種などのカスタム・バックドアを活用して、標的の環境に足場を確立します。権限のエスカレーション中には、MimikatzやNcrackなどの自由に利用できるツールに加えて、Windows資格情報エディターやProcDumpなどの正当なツールが観察されました。内部の予備調査は、カスタム・スクリプトと、BLUETORCHポート スキャナーなど自由に利用でき、かつカスタマイズ可能なツールを使用して実行されています。

水平展開、プレゼンスの維持、ミッションの完了

APT39は、Remote Desktop Protocol(RDP)、Secure Shell(SSH)、PsExec、RemCom、xCmdSvcなど、多数のツールを通じて水平展開を促進します。REDTRIP、PINKTRIP、BLUETRIPなどのカスタム・ツールを使用して、感染したホスト間にSOCKS5プロキシも作成されます。水平展開のためのRDP使用に加えて、APT39はこのプロトコルを使用して、侵害した環境での存在を維持します。そのミッションを完了するため、APT39は通常、WinRARまたは7-zipなどの圧縮ツールで窃取したデータをアーカイブします。



図 2:APT39攻撃のライフサイクル

APT39には、ネットワーク防御ソフトによる検知をすり抜けるために、運用されているセキュリティへの傾向を示した、いくつかの兆候があります。あるケースではアンチウイルス検知を妨害するために再パックされたMimikatzの変更バージョンを使用し、同様に別の例では、検知を回避するために、APT39が最初のアクセスに成功したあとで侵害した対象者の環境の外部から資格情報を収集したことなどがありました。

見解

APT39の顕著な標的が通信業界と旅行業界であることは、将来の活動を促進するために、偵察行為を目的として、標的対象の興味と顧客データという、狙い通りの個人情報を収集するための努力に表れているとファイア・アイは考えています。膨大な量の個人情報や顧客情報を保管し、通信を介して重要なインフラストラクチャへのアクセスを提供し、複数の縦方向間で幅広い潜在的な標的へのアクセスを可能にするため、通信会社は魅力的な標的対象です。APT39は、既知の標的対象の産業に脅威を表すだけでなく、さまざまな業界や世界規模での個人を含み、これらの組織の顧客にまで拡がります。APT39の活動は、イランの潜在的な国際戦略領域と、国家安全保障上の脅威と判断される重要なデータの収集を容易にし、地域的および世界的に敵対する国に対する優位性を得るため、低コストで効果的なツールとしてのサイバー活動の使用方法を示しています。