ロシアと連携するスパイ活動に使用されたTAG-53のクレデンシャルハーベスティングインフラストラクチャを公開
編集者注:レポートをPDFとしてダウンロードするには 、ここをクリックしてください 。
このレポートは、脅威アクティビティグループTAG-53が使用するインフラストラクチャをプロファイリングし、Callisto Group、COLDRIVER、SEABORGIUMの公開レポートと重複しています。 この活動は、ネットワークインテリジェンスとオープンソースのレポートから得られた分析の組み合わせによって特定されました。 この報告書は、ネットワーク防御者や、サイバースペースにおけるロシア国家の活動に関連する戦略的および運用上の情報に従事する個人にとって最も興味深いものになるでしょう。
Executive Summary
2022年7月以降、Recorded FutureのInsikt Groupは、脅威活動グループTAG-53による同様のインフラストラクチャの繰り返しの使用を観察しました。 この新たに発見されたインフラは、ロシアの国益に沿った活動に関連しているとされる、これまでCallisto Group、COLDRIVER、SEABORGIUMが関与していた他のインフラ戦術、技術、手順(TTP)と重複している可能性が高い。
Insikt Groupは、Let's Encrypt TLS証明書とともに特定のパターン構造を採用したドメイン名の使用、ホスティングプロバイダーの特定のクラスターの使用、自律システムの小さなクラスターの使用など、インフラストラクチャをキュレーションする際に、TAG-53による一般的な特性の繰り返しの使用を観察しました。
TAG-53インフラストラクチャには、米国の正規の軍事兵器およびハードウェアサプライヤーを装ったなりすましのMicrosoftログインページが含まれていることが判明し、一部のTAG-53インフラストラクチャがすでに運用されている可能性が高いことを示唆しています。 重複するTAG-53キャンペーンに関する過去の公開報告に基づくと、このクレデンシャルハーベスティングアクティビティは、フィッシングによって部分的に有効になっている可能性があります。
主な判断
- Insikt Groupは、ロシアの脅威活動グループが疑われるCallisto Group、COLDRIVER、SEABORGIUMに関連する可能性が高いグループであるTAG-53が使用する新しいインフラストラクチャを特定しました。
- 特定されたTAG-53インフラストラクチャは、特定のドメインレジストラの使用、Let's Encrypt TLS証明書の使用、自律システムの小さなクラスターなど、共通の特徴を備えています。 TAG-53のドメインのほとんどは、特定のスタイル構造を使用しています。
- TAG-53は、政府、諜報機関、軍事産業に特に重点を置いて、複数の業界にわたって組織になりすましたドメインを使用してきました。
背景
TAG-53は、Callisto Group、COLDRIVER、SEABORGIUMに起因するインフラストラクチャーとの重要な特徴とクロスオーバーを持つインフラストラクチャを設定する際に一貫しています。 このグループは、悪意のあるドメインを登録する際に、自律システムの小さなクラスターに存在するIPアドレスを持つ特定のドメインレジストラを使用するとともに、特定のスタイル構造を使用し続けています。
2022年8月15日、Googleの脅威分析グループ(TAG)およびプルーフポイントの脅威調査チームと共同で公開されたMicrosoft のレポート では、SEABORGIUMのフィッシング活動が詳細に説明されています。 この調査でMicrosoftは、SEABORGIUMがロシアに由来し、「ロシアの国家的利益と密接に一致する目的と被害者学」を持っていると評価しています。 Microsoftは、SEABORGIUMの共有がCallisto Group、TA446、およびCOLDRIVERと重複していることを示しており、脅威アクターが侵入やデータ盗難につながった持続的なフィッシングおよび資格情報盗難キャンペーンを実行したことを示しています。 SEABORGIUMは、主にNATO諸国をターゲットにしており、特に米国と英国に重点を置いています。 このグループは、2022年2月のロシアによるウクライナへの全面侵攻の準備段階でもウクライナを標的にしていました。
GoogleのTAGは3月に 報告 し、2022年5月に 更新 したCOLDRIVERは、非政府組織やシンクタンク、ジャーナリスト、政府および防衛当局者を標的に、Gmailアカウントを使用してクレデンシャルフィッシングキャンペーンを実施しました。 また、TAGは、COLDRIVERのTTPが時間とともに進化し、GoogleドライブやMicrosoft OneDriveでホストされているPDFやDOCファイルのリンクをフィッシングメールに組み込む方向に進んでいることを示唆しています。
脅威と技術の分析
Insikt Groupは、オープンソースのレポート(1、 2、 3、 4)で提供されるインテリジェンスを使用して、Callisto Group、COLDRIVER、およびSEABORGIUMインフラストラクチャと重複する可能性が高いTAG-53インフラストラクチャをプロファイリングしました。 TAG-53インフラストラクチャは、ドメインレジストラ、自律システム、ドメイン名構造、および関連するTLS証明書の特定の組み合わせを分析することで明らかになりました。 この情報に基づくと、この脅威グループはフィッシングとクレデンシャル ハーベスティングの運用を継続している可能性が高くなります。 Insikt Groupは、TAG-53インフラストラクチャを監視しているときに、米国の正規の軍事兵器およびハードウェアサプライヤーを装ったなりすましのMicrosoftログインページを確認し、一部のTAG-53インフラストラクチャがすでに運用されている可能性が高いことを示唆しています。
レジストラー
Insikt Groupは、2022年1月以降、TAG-53が使用する38の登録ドメインのIPアドレスを、現在のDNS(Domain Name System)レコードとパッシブドメインの両方を使用して解決しました。 付録Aに挙げた特定されたTAG-53ドメインは、2022年半ば以降、ドメイン登録にNameCheap、Porkbun、REG.RU、regwayを使用する傾向が浮き彫りになっていますが、その内訳を図1に示します。 これらのレジストラが好まれる理由は不明ですが、候補のTAG-53インフラストラクチャをプロファイリングする際に有用な指標です。
図1:2022年1月以降にTAG-53が使用したドメインレジストラの内訳(出典:Recorded Future)
自律システム
特定のドメインレジストラの使用と並行して、特定の自律システムの使用があり、TAG-53で収集されたすべてのドメインは、以下の表1に示すMIRhosting(AS52000)とHostwinds(AS54290)にリンクされている2つの自律システム番号(ASN)にかなりの濃度で集中している10の自律システムに存在することがわかりました。
| ASN (英語) | AS名 | TAG-53 ドメイン数 |
| AS52000 | MIRホスティング | 11 |
| AS54290 | ホストウィンズ | 10 |
| AS44094 | WEBHOST1-AS | 4 |
| AS62240 | クルービダー | 4 |
| AS62005 | BV-EU-ASの | 3 |
| AS44477 | スタークインダストリーズ | 2 |
| AS16276 | OVHの | 1 |
| AS20278 | ネクセオン | 1 |
| AS206446 | クラウドリース | 1 |
| AS43624 | スタークインダストリーズソリューションズ-AS | 1 |
表1:TAG-53リンクドメインのASN詳細の内訳(出典:Recorded Future)
ドメイン名の構造
TAG-53トラッキングで発見されたドメインのほとんどは、主にハイフンで区切られた2つの用語で構成される、同様の構造のドメイン名を使用しています。オンライン」。 特定された38のドメインのうち、33は文体形式「
図2に示すTAG-53ドメインで見つかった用語の内訳は、ドメイン内で特定の単語が繰り返し使用されていることを強調しており、そのほとんどは一般的な一般的なコンピューティング用語です。
図2:TAG-53のリンクドメインで使用されている用語の内訳(出典:Recorded Future)
X.509 TLS 証明書
特定されたすべてのTAG-53ドメインは、Let's Encryptが提供する対応するX.509 TLS証明書をホストしていることが判明しました(その例を図3に示します)。 Let's Encrypt TLS証明書が広く使用されることで、TAG-53ドメインとインフラストラクチャ間の相関関係がさらに高まり、このアクティビティのクラスタリングが強化されます。
図3:drive-globalordnance[.]コム (出典: crt.sh)
標的化と被害者学
発見された38のドメインのうち、9つは、表2に示すように、潜在的な標的組織またはTAG-53が偽装しようとしている可能性のある組織への参照を含んでいました。 これらのテーマドメインを使用する理由は、潜在的なターゲットや被害者に対してより正当に見えるように、実在する実体を模倣しようとする試み以外には、完全には理解されていません。
| TAG-53ドメイン | 疑わしいターゲット/マスカレード | 業種別 |
| umopl-drive[.]コム | UMOポーランド | 航空宇宙および防衛:ハードウェア/兵器 |
| ドライブ-グローバル兵器[.]コム | グローバル兵器 | 航空宇宙および防衛:ハードウェア/兵器 |
| サングレイルシェア[.]コム | サングレイル株式会社 | 航空宇宙および防衛:軍事および民間のインテリジェンス |
| dtgruelle-us[.]コム | DTグリュエル | 兵站 |
| dtgruelle-drive[.]コム | ||
| cija-docs[.]コム | 国際正義と説明責任委員会(CIJA) | NGO:武力紛争犯罪捜査 |
| blueskynetwork-shared[.]コム | ブルースカイネットワーク | 電気通信:衛星 |
| DNS-MVD[.]る | ロシア連邦内務省(MVD) | 政府:ロシア内務省 |
| mvd-redir[.]る |
表2:TAG-53リンクドメインの標的/マスカレードの疑い(出典:Recorded Future)
9つのドメインを分析したところ、7つのドメインは、特にウクライナでの戦争に照らして、ロシアとネクサスの脅威グループが関心を持つ可能性が高い業界に焦点を当てていることが明らかになりました。 2つの外れ値のドメインは、おそらくロシア連邦内務省になりすますことを意図しています。 (MVD)
クレデンシャルハーベスティング
TAG-53 ドメイン "drive-globalordnance[.]com」には、米国の軍事兵器およびハードウェアのサプライヤーである合法的な会社Global Ordnanceのなりすましサインインページが含まれています。 図4に示すスプーフィングされたサインインページは、Global Ordnanceブランドを使用しており、ターゲットがフィッシングされた後の後続のクレデンシャルハーベスティングに使用される疑いがあります。 Global Ordnanceがこのクレデンシャルハーベスティング作戦の意図された標的であるかどうか、またはTAG-53がGlobal Ordnanceスタイルのドメインとなりすましサインインページを使用して、被害者を標的にするための正当なエンティティになりすましているかどうかは不明です。
図4:TAG-53 Global Ordnanceのなりすましサインインページ(出典:URLScan)
軽減策
利用者は、TAG-53に関連する活動を検知し、軽減するために、以下の措置を実施する必要があります。
- 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、付録に記載されている外部 IP アドレスとドメインに対するアラートを発し、確認した上で、接続試行をブロックすることを検討してください。
- Recorded Future は、悪意のあるサーバー構成をプロアクティブに検出し、コマンド アンド コントロール セキュリティ コントロール フィードでそれらをブロックする手段を提供します。 コマンド&コントロールフィードには、TAG-53やその他のロシアの国家支援の脅威活動グループが使用するツールが含まれています。 記録された将来のクライアントは、アクティブな侵入の検出と修復を可能にするために、これらのC2サーバーにアラートを発してブロックする必要があります。
- 記録された将来の脅威インテリジェンス (TI)、サードパーティ インテリジェンス、および SecOps インテリジェンス モジュール ユーザーは、ネットワーク インテリジェンス分析からのリアルタイムの出力を監視して、組織または主要なベンダーやパートナーが関与する標的型侵入アクティビティの疑いを特定できます。
- 組織を偽装するタイポスクワット ドメインなどのドメインの不正使用を、Recorded Future Brand Intelligence (BI) モジュールで監視します。 SecurityTrails 拡張機能は、脅威インテリジェンスモジュールまたはブランドインテリジェンスモジュールを購読しているすべてのお客様が利用できます。 LogoType ソースとアラートは BI モジュール専用ですが、TI モジュールは高度なクエリ ビルダーを介してデータにアクセスできます。
- Recorded Futureの不正ドメインとタイポスクワッティングのプレイブックでは、タイポスクワッティングまたは同様のドメインアラートのトリアージについて説明しています。 アラートをまだ設定していない場合は、インテリジェンス目標ライブラリの「認定アラートのアクティブ化」を参照してください。
今後の展望
Insikt Groupは、TAG-53インフラストラクチャを追跡し続け、グループのクレデンシャルハーベスティング操作が多様化するにつれてTTPの変化を観察しています。 特に、TAG-53による特別に調整されたインフラストラクチャの使用に関して一貫した傾向が現れており、戦略的キャンペーンに同様の手法を長期的に使用していることが強調されています。
読者は、ネットワーク監視、侵入検知システム、ファイアウォール、および関連する境界セキュリティアプライアンスのRecorded Future Platformを介したTAG-53レポートに関連して参照される指標を検出、ブロック、およびハンティングする必要があります。
付録A — 指標
ドメイン
アクセス確認[.]コム
アクセスを許可する[.]コム
antibots-service[.]コム
blueskynetwork-shared[.]コム
botguard-checker[.]コム
ボットガード-web[.]コム
チャレンジ識別子[.]コム
チェッカーボット[.]コム
cija-docs[.]コム
クラウドの安全性[.]オンライン
cloud-us[.]オンライン
dns-cache[.]オンライン
dns-cookie[.]コム
DNS-MVD[.]る
docs-web[.]オンライン
ドライブコントロール[.]コム
ドライブ-グローバル兵器[.]コム
ドライブプレビューア[.]コム
ドライブ [.]オンライン
dtgruelle-drive[.]コム
dtgruelle-us[.]コム
encompass-shared[.]コム
フィルターボット[.]コム
goweb-protect[.]コム
ガードチェッカー[.]コム
サービスランド[.]コム
live-identifier[.]コム
mvd-redir[.]る
ネットワーク・ストレージ株式会社[.]コム
非暴力紛争サービス[.]コム
proxycrioisolation[.]コム
redir-document[.]コム
応答フィルター[.]コム
応答-redir[.]コム
サングレイルシェア[.]コム
share-drive-ua[.]コム
転送レコード[.]コム
umopl-drive[.]コム
IPアドレス
23[.]254[.]201[.]243
45[.]66[.]248[.]9
45[.]86[.]230[.]198
45[.]153[.]229[.]79
64[.]44[.]101[.]31
77[.]91[.]126[.]16
77[.]91[.]126[.]35
77[.]91[.]126[.]46
77[.]91[.]126[.]62
77[.]91[.]126[.]64
77[.]91[.]126[.]66
77[.]91[.]126[.]69
77[.]91[.]69[.]109
85[.]239[.]53[.]210
85[.]239[.]60[.]18
85[.]239[.]61[.]49
85[.]239[.]61[.]86
138[.]124[.]187[.]143
138[.]124[.]187[.]222
142[.]11[.]209[.]171
142[.]11[.]209[.]180
142[.]11[.]210[.]53
146[.]19[.]230[.]182
146[.]59[.]102[.]76
185[.]164[.]172[.]128
185[.]164[.]172[.]220
185[.]179[.]188[.]73
185[.]179[.]189[.]32
185[.]179[.]189[.]43
185[.]179[.]189[.]45
192[.]119[.]65[.]114
192[.]119[.]97[.]190
192[.]119[.]112[.]249
192[.]129[.]154[.]225
192[.]236[.]195[.]114
192[.]236[.]193[.]194
193[.]200[.]17[.]102
195[.]246[.]110[.]45
付録B — MITRE ATT&CK手法
| 戦術:手法 | ATT&CKコード |
| 防御回避: マスカレード | T1036 |
| 偵察: 情報を求めるフィッシング | T1598 |
| リソース開発: ステージ機能 | T1608 |
関連