背景
中東での地政学的な緊張が高まるにつれて、イランはサイバーエスピオナージ・キャンペーンを増やし、範囲を拡大するとFireEyeでは予測しています。イランには、戦略的インテリジェンスに対する重要なニーズがあるのです。イランの経済的目標や国家安全保障の目標を促進させる情報を持つ意思決定者や主要な組織に対してスパイ行為を行うことによって、このギャップを埋める可能性があります。新しいマルウェアの検知と、そのようなキャンペーンを可能にするためのさらなるインフラの整備は、イランの関心の裏付けとしてこれらの攻撃の増大を表しています。
FireEyeがフィッシング・キャンペーンを検知
FireEyeは、2019年6月下旬に、イランが関与する攻撃グループ、APT34がフィッシング・キャンペーンを実施したことを検知しました。このキャンペーンでは、次の3つの重要なアトリビューションが見つかりました。
- 被害者の信頼を得て不正な文書を開かせるため、ケンブリッジ大学のメンバーを装った。
- LinkedInを使って不正な文書を配信した。
- APT34の攻撃手段に新しい3つのマルウェアを投入した。
マルウェアをダウンロードさせようとするLinkedInメッセージの例
このように学術系や求人を装う手法は、APT34の過去のキャンペーンでは珍しいことではありません。ソーシャル・メディアの悪用は、入口対策としてのEメール・セキュリティ対策を重視している組織に対して、有効な回避策となっています。
FireEyeのプラットフォームはこの侵入の試みを阻止し、新しいマルウェアの亜種の動きを止めました。さらに、 FireEye Labs Advanced Reverse Engineering(FLARE)、インテリジェンス、およびアドバンスト・プラクティス・チームと協力して、新しいマルウェア・ファミリー3種と、APT34でのみ使用されているマルウェア、PICKPOCKETの再現を検知しました。新しいマルウェア・ファミリーは、APT34がPowerShellの開発機能に依存していること、Go言語を試していることを示しています。
APT34は、少なくとも2014年から活動していたイランが関与する攻撃グループで、サイバーエスピオナージ攻撃を実行します。彼らは公開ツールと非公開ツールを組み合わせて使用し、地政学的および経済的ニーズに関する国家の関心に役立つ戦略的情報を収集します。さまざまなセキュリティ研究者によると、APT34はOilRigおよびGreenbugとして報告された攻撃の要素と合致しているとのことです。この脅威グループは、中東でのさまざまな産業を対象にして、幅広く標的を設定しています。しかしFireEyeでは、APT34は、金融、エネルギー、および政府機関へのアクセス経路を入手することに最大の関心を寄せていると考えています。
APT34に関する調査結果は他にもあり、このFireEye脅威調査ブログの記事、CERT-OPMDの記事、Ciscoの記事も参照してください。
このキャンペーンに対して、FireEye Managed Defenseサービスでは新たなCPE(Community Protection Event:お客様に対する警戒体制)を開始して、「Geopolitical Spotlight: Iran」 と命名しました。このCPEにおいて、APT34と同じイラン関与の攻撃者グループであるAPT33(更新済みのブログ記事で解説)を含む最近の他の活動と合わせて、新しい発見、活動、および検知の結果でお客様を確実に保護できるように、IOCの作成などを行いました。
標的とされる業種
Managed Defenseで観察され、この記事でも取り上げている攻撃は、主に以下の業種を対象としていました。
- エネルギー/公益事業
- 政府機関
- 石油/ガス
<中略>
結論
このブログ記事では、実証済みの技術を利用して標的の組織を侵害する、有名なイランの攻撃グループの攻撃を取り上げました。幸いなことに、FireEye Managed Defenseを活用しているお客様は、FireEyeのプラットフォーム環境が整っていたので、被害を受けませんでした。加えて、この攻撃を阻止したことにより、FireEyeは、観察したインジケーターから展開して、キャンペーンの拡大と新旧のマルウェアの使用を検知することができました。
FireEyeでは、APT34が今後も新しいツールを試す可能性があると考えています。攻撃グループは、特に切望する標的に対して、検知メカニズムを回避するためにTTPを頻繁に作り直しています。これらの理由からFireEyeは、情報セキュリティについて、防御を怠らず、常に環境全体を視覚化することをお勧めします。
本ブログは、米FireEyeが公開した「Hard Pass: Declining APT34’s Invite to Join Their Professional Network」の要約版です。技術詳細を含むブログ全文(英語)は次のリンクをご参照ください。
https://www.fireeye.com/blog/threat-research/2019/07/hard-pass-declining-apt34-invite-to-join-their-professional-network.html