イランの脅威アクターが大規模なサイバーオペレーションインフラストラクチャネットワークを蓄積し、サウジアラビアの組織を標的に
ここをクリック をクリックして、完全な分析をPDFとしてダウンロードします。
_Insikt Group® researchers used proprietary methods, including Recorded Future Network Traffic Analysis and Recorded Future Domain Analysis, along with common analytical techniques, to profile Iranian cyberespionage threat actor APT33 (Elfin) and determine whether the public exposure of their TTPs in March 2019 impacted their operations.
Data sources include the Recorded Future® Platform, Farsight Security’s DNSDB, ReversingLabs, VirusTotal, Shodan, and common OSINT techniques.
このレポートは、中東の地政学に関心のある人々だけでなく、中東に拠点を置く組織や、航空宇宙・防衛、エネルギー、金融、電気通信、製造など、APT33が対象とする産業のネットワーク擁護者にとっても、最も興味深いものとなるでしょう。
この調査は、2019年2月10日から2019年6月6日の間に収集されたデータに基づいています。
Executive Summary
The United States and Iran continue to escalate tensions, most recently accelerating rhetoric and actions in the Strait of Hormuz, but also in the cyber domain. Over the past three months, Recorded Future’s Insikt Group has observed an increase in APT33’s (also known as Elfin) infrastructure building and targeting activity, and on June 21, 2019, Yahoo! News reported that the U.S. Cyber Command launched cyberattacks on an “Iranian spy group.”
イランの国家支援を受けた脅威アクターであるAPT33は、 少なくとも2013年からサイバースパイ活動を行っており、主に中東の国々を標的にしていますが、特に米国、韓国、欧州のさまざまな分野の商業団体を標的にしています。
Insikt Group researchers used proprietary methods, including Recorded Future Domain Analysis and Recorded Future Network Traffic Analysis, along with other common analytical approaches, to profile recently reported Iranian threat actor APT33’s domain and hosting infrastructure in an effort to identify recent activity and better understand the group’s tactics, techniques, and procedures (TTPs).
当社の調査によると、APT33(密接に連携した脅威アクター)は、2019年3月28日以降、1,200以上のドメインが使用され、コモディティマルウェアの使用に重点を置いており、広範なサイバースパイ活動の実施と準備を続けています。 コモディティマルウェアは、大規模なコンピュータネットワーク運用を行い、他の脅威アクターの活動のノイズの中に隠れて、アトリビューションの取り組みを妨げたいと考えている国家規模の脅威アクターにとって魅力的なオプションです。
The targeting of mainly Saudi Arabian organizations across a wide variety of industries aligns with historical targeting patterns for the group, which appear undeterred following previous exposés of their activity. Western and Saudi — both public and private sector — organizations in industries that have been historically targeted by APT33 should be monitoring geopolitical developments and increasing the scrutiny of operational security controls focusing on detection and remediation of initial unauthorized access, specifically from phishing campaigns, webshells, and third-party (vendor and supplier) relationships. Additionally, real-time security intelligence should be used to improve hunting in internal network and host-based telemetry.
主な判断
2019年3月下旬の運用 の公表 を受けて、APT33の活動が疑われるドメインはパークされるか、新しいホスティングプロバイダーに変更されました。
APT33、または密接に連携した脅威アクターは、C2ドメインを一括で制御し続けています。
- 2019年3月28日以降だけでも、1,200以上のドメインが使用されています。
- これらのうち728人は、感染した宿主と通信していることが確認されました。
- 728のドメインのうち575のドメインは、ほとんどが公開されている19のRATの1つに感染したホストと通信していることが確認されました。
マルウェアファミリーに分類された疑わしいAPT33ドメインのほぼ60%は、以前はAPT33の活動に関連付けられていなかったRATであるnjRAT感染に関連していました。 AdwindRATやRevengeRATなどの他のコモディティRATマルウェアファミリーも、APT33ドメインの活動の疑いに関連していました。
私たちは、APT33、または密接に連携した脅威アクターが、3月下旬の開示以降、以下の組織を標的にしていると中程度の確信度で評価しています。
- サウジアラビアに本社を置き、エンジニアリングおよび建設、公益事業、テクノロジー、小売、航空、金融セクターで事業を展開するコングロマリット
- サウジアラビアの2つの医療機関
- 金属産業におけるサウジアラビアの企業
- インドのマスメディア企業
- 外交機関からの代表団
ナスル研究所とカヴォシュ・セキュリティ・グループの間のつながりに関する最近の報告、および技術的およびペルソナ分析は、APT33、APT35、およびMUDDYWATERの間で重複しており、おそらくイランがサイバー作戦を管理するために利用している階層構造の結果であると評価しています。
背景
APT33 is an Iranian state-sponsored threat actor that has engaged in cyberespionage activities since at least 2013. They have typically used commodity malware and possess an expansive network infrastructure that enables them to scale their operations for victim targeting. Historically, this targeting has focused on the aerospace and defense industries, as well as the oil and gas industry, with a strong focus on companies based in Saudi Arabia. Symantec’s Elfin report denoted additional targeting of the engineering, chemical, research, finance, IT, and healthcare sectors. Recorded Future’s Insikt Group has been monitoring APT33 activity, beginning with research published in October 2017, which revealed new infrastructure, malware hashes, and TTPs relating to the threat actor(s).
脅威分析
On March 27, 2019, Symantec published research titled, “Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S.” The report outlined a three- year APT33 cyberespionage campaign. Using the IP addresses and malware hashes provided in that research, Insikt Group researchers conducted a follow-up analysis of the malicious domains used by APT33 to determine two things:
- APT33が活動を続けていたかどうか、もしそうなら、出版に応じてTTPを変更したかどうか
- 公表に値する、以前に報告されていないグループによって行われた歴史的な活動があったかどうか
ナスル研究所とカヴォシュ・リダックス
In our previous report, “Iran’s Hacker Hierarchy Exposed,” we concluded that the exposure of one APT33 contractor, the Nasr Institute, by FireEye in 2017, along with our intelligence on the composition and motivations of the Iranian hacker community, pointed to a tiered structure within Iran’s state-sponsored offensive cyber program. We assessed that many Iranian state-sponsored operations were directed by the Iranian Revolutionary Guard Corps (IRGC) or the Ministry of Intelligence and Security (MOIS).
以前の調査に情報を提供したInsikt Groupの機密情報源によると、これらの組織は、脆弱性の調査、エクスプロイト開発、偵察、ネットワーク侵入や攻撃の実施などの活動を行う50を超える契約組織の区分化されたタスクを担当する、イデオロギー的に連携したタスクマネージャーの中間層を採用していました。 攻撃的なサイバー能力を開発する際に、これらの個別の各コンポーネントは、包括的な作戦の完全性を保護し、IRGCおよび/またはMOISが作戦の制御を維持し、不正なハッカーからのリスクを軽減するために、意図的に異なる契約グループに割り当てられました。
攻撃作戦へのイラン政府の関与を曖昧にしている。
FireEye also noted in their 2017 report that the online handle “xman_1365_x,” found within the PDB path in an APT33 TURNEDUP backdoor sample, belonged to an individual at the Nasr Institute. The same handle was then linked to destructive operations using NewsBeef and StoneDrill malware families. Then, in March 2017, researchers linked StoneDrill to the Shamoon 2 operation and to the APT35 (also known as Charming Kitten, Newscaster, or NewBeef) threat actor.
Our previous analyses showed that the person behind the “xman_1365_x” handle self-identified on Iranian hacking forums as Mahdi Honarvar from Mashhad, with speculation that he was also affiliated with the Kavosh Security Center since around 2017.
Kavosh’s role within the Iranian cyber ecosystem was further uncovered by Group-IB’s recent analysis detailing that Kavosh was the employer for “Nima Nikjoo” between 2006 and 2014. Their analysis concluded that a March 2019 campaign targeting a Turkish military electronics manufacturer was perpetrated by another Iranian threat actor, MUDDYWATER. MUDDYWATER used the POWERSTATS backdoor, proliferated in maldocs that contained metadata revealing the author as “Gladiyator_CRK,” with a possible name of “Nima.” Additionally, an email address suspected to be related, “gladiyator_cracker@yahoo.com,” was associated with “نیما نیکجو,” which translates to “Nima Nickjou,” in a 2014 blog that exposed the names and email addresses of individuals allegedly employed at the Nasr Institute. Another research blog authored by pseudonym “0xffff0800” corroborated some of these findings and revealed “Nima Nikjoo” to be “Nima Nikjoo Tabrizi.”
APT33の脅威アクターと疑われるNima Nikjoo TabriziのLinkedInプロフィール写真。 (2019年6月14日閲覧)
ニマ・ニクジュー・タブリージとは?
OSINTは、Nima Nikjoo Tabriziの名前でアクティブなLinkedinアカウントと他のアクティブなソーシャルメディアアカウントがあることを明らかにし、彼がSymantecのリバースエンジニアおよびマルウェアアナリストであると主張しています。 しかし、SymantecはRecorded Futureに対し、Tabriziが彼らのために働いたことは一度もないことを確認した。
「私たちは長い間、この人物のことを知っていました。 Nima Nikjooはシマンテックの従業員ではなく、シマンテックでこの名前の個人が働いていたという記録はありません。」
政府機関であるナスル研究所と、イランの国家が支援するサイバースパイ活動と強い関係を持つ カヴォシュセキュリティセンターで働いていたことが暴露されたため、タブリージがイラン国家に代わってサイバースパイ活動に従事していることを高い確信を持って評価しています。
APT33の脅威アクターと疑われるNima Nikjoo Tabriziの職歴。
この情報に基づくと、ナスル研究所がイランの国家支援による攻撃的なサイバー活動の隠れ蓑であることが暴露されると、従業員は自分の身元を保護し、さらなる曝露を最小限に抑えるために、カヴォシュなどの他の組織に移行した可能性があります。 2017年にマフディ・ホナルヴァルとカヴォシュ・セキュリティ・センターとのつながりが明らかになるまで、ナスル研究所に関連する暴露は広く報告されていませんでした。 したがって、技術情報と個人情報の重複は、脅威アクターAPT33、APT35、およびMUDDYWATER間の歴史的なつながりを示していると評価しています。
These technical and persona overlaps among Iranian threat actors are not unexpected given the tiered structure of Iranian state management of cyber operations. Within this structure, we assessed that managers are running multiple teams, some of which are associated with government organizations and others that are contracted private companies (such as ITSec Team).
技術的分析
APT33 クリーンアップ?
シマンテックが文書化したAPT33指標から始めて、Insikt Groupは、Recorded Futureプラットフォーム内のFarsight Security拡張機能を使用して、グループが使用するドメインとホスティングインフラストラクチャをプロファイリングし、一部のドメインの更新されたIP解像度を明らかにしました。
| ドメイン | 元の IP 解決 (シマンテックのレポートによる) | IP決議の更新 |
|---|---|---|
| backupnet.ddns[.]網 | 25.187.21[.]71, 91.230.121[.]143 | 95.183.54[.]119 |
| hyperservice.ddns[.]網 | 8.26.21[.]119 | 95.183.54[.]119 |
| microsoftupdated[.]コム | 5.187.21[.]70 | 52.45.178[.]122 |
| マイネットワーク[.]参考 | 192.119.15[.]41, 195.20.52[.]172 | 195.20.52[.]172 |
| mypsh.ddns[.]網 | 162.250.145[.]204, 162.250.145[.]234, 192.119.15[.]35, 192.119.15[.]37, 64.251.19[.]214, 64.251.19[.]231, 64.251.19[.]232, 8.26.21[.]120, 8.26.21[.]221, 8.26.21[.]222 | 現在の分解能なし |
| mypsh.ddns[.]網 | 5.79.127[.]177 | 0.0.0[.]0 |
| mywinnetwork.ddns[.]網 | 91.235.142[.]76, 91.235.142[.]124, 89.34.237[.]118 | 0.0.0[.]0 |
| remote-server.ddns[.]網 | 192.119.15[.]39, 91.230.121[.]143 | 0.0.0[.]0 |
| remserver.ddns[.]網 | 217.147.168[.]44, 91.230.121[.]144 | 0.0.0[.]0 |
| securityupdated[.]コム | 217.13.103[.]46 | 204.11.56[.]48 |
| servhost.hopto[.]組織 | 37.48.105[.]178 | 95.183.54[.]119, 0.0.0[.]0 |
| サービスアバント[.]コム | 213.252.244[.]14 | 213.252.244[.]144, 51.77.102[.]108 |
| srvhost.servehttp[.]コム | 8.26.21[.]117, 64.251.19[.]216 | 95.183.54[.]119 |
| svcexplores[.]コム | 8188.165.4[.]81 | - |
| update-sec[.]コム | 95.211.191[.]117 | - |
As expected, many of the domains exposed in the original Symantec report have been parked or no longer resolve to a real IPv4 address. Interestingly, four of the original domains (backupnet.ddns[.]net, hyperservice.ddns[.]net, servhost.hopto[.]org, and srvhost.servehttp[.]com) were all updated the day after publication, and resolve to the same IP, 95.183.54[.]119. This IP is registered to Swiss-dedicated hosting provider Solar Communications GmBH. It is unclear as to why these domains were not likewise parked. Possible reasons include:
- これらのドメインは、脅威アクターによって高い価値があると判断されたため、継続的な運用目的で保持されました。
- 運営者は、管理上の理由からドメインを更新するのに苦労したか、更新できませんでした。
Recorded Future Intelligence Card™ for microsoftupdated[.]com, enriched using the Farsight Security extension.
In order to identify additional related and potentially malicious infrastructure, we pivoted on the Swiss IP 95.183.54[.]119 and identified approximately 40 domains that were newly resolving to the IP since mid-February 2019. We positively identified RAT malware communication from a selection of domains.
| ドメイン | IPアドレス | マルウェアがドメインと通信しているのを観察 |
|---|---|---|
| windowsx.sytes[.]網 | 95.183.54[.]119 | ナノコア |
| hellocookies.ddns[.]網 | 95.183.54[.]119 | ナノコア、QuasarRATバリアント |
| njrat12.ddns[.]網 | 95.183.54[.]119 | njRAT |
| trojan1117.hopto[.]組織 | 95.183.54[.]119 | njRAT |
| wwwgooglecom.sytes[.]網 | 95.183.54[.]119 | njRAT |
| newhost.hopto[.]組織 | 95.183.54[.]119 | njRAT、ダークコメット |
| za158155.ddns[.]網 | 95.183.54[.]119 | njRAT |
さらに、スイスのIPに解決されたドメインの多くは、XTreme RAT、xtreme.hopto[.]組織 および njRAT ( njrat12.ddns[.]net)、 Netcat(n3tc4t.hopto[.]com)です。 興味深いことに、 BistBots (bistbotsproxies.ddns[.]ネット) も同じIPで共同ホストされました。 これは、最新の高速インターネットプロキシを求めるBistBotsのユーザーを標的にし、ネットワークフィルタリングを回避し、イランで制限されている Facebook、Twitter、YouTubeなどのサイトにアクセスしたいという願望を示している可能性が高いと評価しています。
Further analysis of the domains above, including windowsx.sytes[.]net, njrat12.ddns[.]net, and wwwgooglecom.sytes[.]net shows that they have been classified as C2s for Nanocore and njRAT, according to their respective Recorded Future Intelligence Cards™. The information detailed are correlations derived from hash reports from malware multiscanner repositories and malware detonations that contain direct references to the domains.
Interestingly, while the Symantec research noted APT33’s use of Nanocore, njRAT was not mentioned, which indicates a previously unknown addition to the group’s ever-expanding repertoire of commodity malware.
Context panel from the Recorded Future Intelligence Card™ for windowsx.sytes[.]net, showing the relationship between the domain and the Nanocore RAT malware.
以下のMaltegoのグラフは、スイスのIPでホストされている選択されたドメインのリンク分析と、マルウェアファミリ名に関連付けられた派生ハッシュを示しています。
既知の悪意のあるAPT33にリンクされたIPでホストされているドメインのMaltegoグラフ。
インフラストラクチャの相関関係の深化
Insikt Groupは、2019年1月以降にAPT33によって使用されたと報告されたすべてのドメインを列挙しました。 パッシブDNSや同様のアプローチを使用した一般的なインフラストラクチャホスティングパターンをピボットして、APT33の疑いのあるインフラストラクチャをさらに特定しました。
予備的な分析では、シマンテックが文書化したキャンペーンの背後にいるのと同じAPT33攻撃者によって管理されている可能性が高い1,252の一意の相関ドメインが特定されました。 これらのうち、728のドメインが感染したホスト上のファイルと通信していると特定され、そのうち575はRATマルウェアファミリと正の相関関係がありました。 残りの153のドメインは、AVエンジンのヒットに基づいて悪意のあるものとして識別されましたが、特定のマルウェアファミリに自動的に分類することはできませんでした。
Editor’s Note: A selection of the domains, hashes, and associated IP address infrastructure connected to suspected APT33 domains will soon be made available to Recorded Future clients in a specialized Certified Data Set called “Weaponized Domains,” enabling companies to regulate the interaction with malicious free/anonymous infrastructure, including dynamic DNS (DDNS) domains.
APT33マルウェアの使用が疑われる円グラフ。
2019年3月28日以降の、これらの疑わしいAPT33ドメインとそれに関連するマルウェアファミリーのトップレベルの活動の内訳によると、ドメインの60%がnjRATマルウェアを使用しており、他のさまざまなコモディティツールが使用されていることが明らかになりました。 合計で1,804の固有のマルウェアハッシュが分析され、以下に示す19のマルウェアファミリに分類されました。
| マルウェアファミリ | 割合 (%) |
|---|---|
| NJRat | 59.99 |
| 不明 | 25.35 |
| リベンジRAT | 4.40 |
| ナノコアRAT | 3.96 |
| ダークコメット | 1.74 |
| スパイネット | 0.87 |
| レムコスRAT | 0.76 |
| エクストリームRAT | 0.60 |
| 差し迫ったモニター | 0.43 |
| NetWireRAT | 0.33 |
| オルクス | 0.33 |
| クエーサーRAT | 0.27 |
| 888ラット | 0.22 |
| qラット | 0.22 |
| アドウィンド | 0.16 |
| サンドロラット | 0.11 |
| プラズマRAT | 0.11 |
| AsyncRAT | 0.05 |
| ビターラット | 0.05 |
| ストーンドリル | 0.05 |
この表と添付のグラフから、APT33、または密接に連携した脅威アクターは、コモディティマルウェアと公開されているツールを継続的に使用しており、njRAT、RevengeRAT、AdwindRATなど、これまで脅威アクターに関連していると報告されていなかったいくつかのマルウェアファミリーを追加していることがわかりました。 サンプルのかなりの割合(25%)は、悪意があると見なされましたが、さらなる手動の静的分析を保証するのに十分な信頼性で決定的に分類できない一般的なコードが含まれていました。 今後の分析では、これらのサンプルに引き続き注力していきます。
Many of the domains uncovered spoofed global technology providers such as Microsoft and Google, as well as business-oriented, web-based services such as video conferencing provider Zoom. Geopolitically themed domains were also present in this list of suspected APT33 infrastructure, such as vichtorio-israeli.zapto[.]org (Victory to Israel), fucksaudi.ddns[.]com and palestine.loginto[.]me. The choice of hostnames may offer insight into the targeting pattern of APT33 operations against the Islamic Republic of Iran’s perceived enemies — notably, Israel, Saudi Arabia, and the wider Gulf Cooperation Council (GCC) nations.
| ドメイン | マルウェアファミリ | SHA256 (英語) |
|---|---|---|
| fucksaudi.ddns[.]網 | リベンジRAT | D8E60135AECB3A2A7422C06CFB94ED9AAF1182145D1C482F84B0BD81AA5D2416 |
| googlechromehost.ddns[.]網 | ナノコアRAT | E2CFC91085B9B5DB41C4C4297C594758DD9A0C8561CE4544DA9FAEDD3A6B91E8 |
| backupnet.ddns[.]網 | ストーンドリル | A217EB149B65552E3127C65C306AA521DCA54959CEEE89E85DD2E6E38C0D8F8B |
| younesadams.ddns[.]網 | サンドロラット | 410b5f374059cc21b2c738a71957c97e4183d92580d1d48df887deece6d2f663 |
| teamnj.ddns[.]網 | ダークコメット | E144DB21CC5F8F57AA748C0A8E4008FC34f8dd831eb2442EB35961E4CDF41F22 |
疑わしいAPT33悪意のあるドメインと相関するハッシュの選択。 記録された将来のクライアントは、APIダウンロードを介して認定データセットのドメインの完全なリストにアクセスできるようになります。
対象組織
Insikt Groupの研究者は、Recorded Future Domain Analysisのデータを使用し、Recorded Future Network Traffic Analysisから得られたデータと組み合わせることで、APT33の活動が疑われる標的となりそうな組織を特定することができました。
| 対象組織 | セクター | 事業国 | 観察された活動の日付 | APT33 C2 IPの可能性あり |
|---|---|---|---|---|
| 組織1 | テクノロジー, 水・電気, エンジニアリング・建設, 小売・金融 | サウジアラビア、アラブ首長国連邦、エジプト、トルコ、クロアチア | May 2 – June 3, 2019 | 134.3.20[.]151 |
| 組織2 | マスメディア | インド | May 4 – June 1, 2019 | 134.3.20[.]151 |
| 組織3 | 外交 | ブルキナファソ | 2019年5月2日 | 134.3.20[.]151 |
| 組織 4 および 5 | ヘルスケア | サウジアラビア | May 2 – May 8, 2019 | 41.103.3[.]7, 46.249.47[.]193 |
| 組織6 | インダストリアル | サウジアラビア | May 25 – June 3, 2019 | 62.113.171[.]186 |
今後の展望
今年初めにシマンテックが幅広いインフラストラクチャと運用を公開した後、APT33(密接に連携したアクター)が、ドメインインフラストラクチャの一部を一時停止または再割り当てすることで対応していることを発見しました。 この活動がレポート公開からわずか1日ほど後に実行されたという事実は、イランの脅威アクターが自分たちの活動に関するメディアの報道を鋭敏に認識しており、迅速に対応できるほど機知に富んでいることを示唆しています。
3月下旬以降、APT33の脅威アクターと疑われる人物は、1,200ドメインをはるかに超える大規模な運用インフラストラクチャを使用し続けており、その多くが19種類のコモディティRATインプラントと通信していることが確認されています。 興味深い展開は、njRATに対する彼らの嗜好の高まりのようで、観察された疑わしいAPT33インフラストラクチャの半分以上がnjRATの展開に関連しています。
While we haven’t observed a widespread targeting of commercial entities or regional adversaries like in previously documented APT33 operations, the handful of targeted organizations that we did observe were mainly located in Saudi Arabia across a range of industries, indicating ongoing targeting aligned with geopolitical aims. We assess that the large amount of infrastructure uncovered in our research is likely indicative of wider ongoing operational activity, or the laying of groundwork for future cyberespionage operations. We recommend organizations take measures to monitor their networks for evidence of suspected APT33 activity by following the guidance in the “Network Defense Recommendations” section below.
Finally, our recommendation to Recorded Future clients is to use our upcoming “Weaponized Domains” Certified Data Set, which has been derived from predictive analytics that assist in the identification of malicious APT infrastructure. This is meant to empower your security teams to hunt, detect, and block high-fidelity malicious indicators at scale.
ネットワーク防御に関する推奨事項
Recorded Futureは、APT33の疑わしい活動を検出して軽減するために、組織が次の対策を講じることを推奨しています。
- Configure your intrusion detection systems (IDS), intrusion prevention systems (IPS), or any network defense mechanisms in place to alert on — and upon review, consider blocking illicit connection attempts from — the external IP addresses and domains listed in Appendix A.
- APT33に関する以前のブログで詳述したように、ダイナミックDNS(DDNS)は、セキュリティ制御の実装に関連する運用上のチョークポイントであり続けています。 DDNS サブドメインを含むすべての TCP/UDP ネットワーク トラフィックは、ブロックしてログに記録する必要があります ( DNS RPZ などを使用)。
- 付録 B にリストされている新しいルールについて、企業全体で定期的な Yara スキャンを実行します。
関連する侵害の兆候の完全なリストを表示するには 、付録をダウンロードしてください。
関連ニュース&研究