Insiktレポート

BlueCharlie は、以前は TAG-53 として追跡されていましたが、2023 年も引き続き新しいインフラストラクチャをデプロイします

投稿: 2023年8月2日
作成者 : Insikt Group

insikt-group-logo-updated-3-300x48.png

Insikt Groupは、ロシアとつながりのあるグループCallisto/Calisto、COLDRIVER、Star Blizzard/SEABORGIUMに関連する脅威活動グループBlueCharlieを追跡しています。2017年から活動しているロシアに関連する脅威グループであるBlueCharlieは、スパイ活動やハッキングアンドリーク作戦のための情報収集に重点を置いています。 BlueCharlieは、戦術、技術、手順(TTP)を進化させ、新しいインフラストラクチャを構築し、公開への適応と運用のセキュリティの向上において洗練されていることを示しています。 具体的な被害者は不明だが、過去の標的には、政府、防衛、教育、政治部門、NGO、ジャーナリスト、シンクタンクなどが含まれている。

bluecharlie-previously-tracked-as-tag-53-continues-to-deploy-new-infrastructure-in-2023-body.png 2022年11月以降のBlueCharlieの活動で使用された用語の内訳

最近、Insikt Groupは、BlueCharlieがフィッシングキャンペーンやクレデンシャルハーベスティングに使用する可能性のある新しいインフラストラクチャを構築していることを確認しました。 最近の作戦で見られたTTPのいくつかは、過去の活動から逸脱しており、BlueCharlieが事業を進化させていることを示唆しており、おそらく業界報告における事業の公開に対応して。 2022年9月にInsikt Groupがグループを最初に追跡して以来、BlueCharlieが数回のTTPシフトに従事しているのを観察しました。 これらの変化は、これらの脅威アクターが業界の報告を認識しており、セキュリティ研究者を妨害することを目的として、活動を難読化または変更する取り組みにおいてある程度の巧妙さを示していることを示しています。

BlueCharlieの脅威に対抗するために、ネットワーク防御者はフィッシング防御を強化し、FIDO2準拠の多要素認証を実装し、脅威インテリジェンスを使用し、サードパーティベンダーを教育する必要があります。 BlueCharlieのフィッシングの継続的な使用と、公的な報告への歴史的な適応は、BlueCharlieが引き続きアクティブであり、その事業をさらに進化させることを示唆しています。

文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。

付録A — 侵害を示す指標

BlueCharlieドメイン:
bittechllc[.]net
centeritdefcity[.]com
checkscreenit[.]com
cloudcpanelhost[.]com
clouddefsystems[.]com
cloudrootstorage[.]com
commandentrance[.]com
computertechdirectsystems[.]com
computingtechstudio[.]com
configuregatewayglobal[.]com
controlgatestorage[.]com
controlsstoragedirect[.]com
controlstoragesolutions[.]com
cryptdatagate[.]com
cryptoanalyzetech[.]com
cryptotechdirect[.]com
cryptothistech[.]com
datagatellc[.]com
datagatewayglobal[.]com
datastoragecrypto[.]com
definform[.]com
deskactivitygm[.]com
directdocumentgate[.]com
directdocumentgateway[.]com
directexpressgateway[.]com
directstoragegate[.]com
docsinfogate[.]com
documentdirectllc[.]com
documentdirectto[.]com
entrywaycenter[.]com
gateblurbrepository[.]com
gatecryptospace[.]com
gateinfosecure[.]com
gatestoragetech[.]com
gatewaydocsint[.]com
gatewayitsol[.]com
gatewayrecord[.]com
gawecryptoinfosolutions[.]com
getinfostarter[.]com
incappcloud[.]com
infocryptogate[.]com
infogatestorage[.]com
informationcoindata[.]com
informationswitchsystems[.]com
infostorageroute[.]com
intelligencerepository[.]com
itgatestorage[.]com
itinfogate[.]com
keepitlabgroup[.]com
managercodepro[.]com
meshgoin[.]com
myitappnext[.]com
myittechnext[.]com
networkgoin[.]com
oneinformationcrypto[.]com
pdfdirectglobal[.]com
pdfsecxcloudroute[.]com
po.vatangate[.]com
prodefendme[.]com
prokeeperit[.]com
protectedviews[.]com
protectordocumentcenter[.]com
realeasyconfiguregateway[.]com
realitsolutionprimary[.]com
safetydocsgateway[.]com
secureglobaltele[.]com
serverguarditweb[.]com
shielditlabel[.]com
shortinfoonline[.]com
skycithereforeit[.]com
solutionsseccloud[.]com
sourcedoorway[.]com
sourcedoorways[.]com
stateinfospace[.]com
storagecryptogate[.]com
storagecryptoweb[.]com
storageinfogate[.]com
storagekeeperinfopro[.]com
storagekeeperinfotech[.]com
storagerootconnect[.]com
storagetruncservices[.]com
storagetruncservices[.]com
storagewarden[.]com
suppdatacent[.]com
threatcenterofreaserch[.]com
transfer-dns[.]com
truncstorage[.]com
truncstorage[.]com
webgateway[.]ru
webgatewayenter[.]com
webinterstellar[.]com
yourdirectinfospace[.]com
yourspaceprotector[.]com

BlueCharlie IP Addresses:
104.140.180[.]125
104.140.180[.]126
104.168.32[.]133
104.168.46[.]21
107.174.45[.]104
107.174.45[.]106
107.175.21[.]29
138.124.183[.]150
138.124.183[.]150
142.11.194[.]133
142.11.195[.]232
142.11.196[.]83
142.11.199[.]18
146.19.170[.]161
146.19.170[.]162
162.19.175[.]92
172.245.191[.]18
172.245.220[.]195
172.245.220[.]206
172.245.254[.]219
172.245.33[.]142
172.245.33[.]188
185.138.164[.]123
185.138.164[.]229
185.250.151[.]11
185.250.151[.]11
192.210.214[.]114
192.210.214[.]150
192.210.215[.]125
192.227.162[.]32
192.236.146[.]12
192.236.195[.]192
192.236.195[.]192
192.3.111[.]149
192.3.111[.]200
192.3.118[.]108
192.3.223[.]33
192.3.228[.]170
192.3.228[.]182
192.3.73[.]140
192.3.73[.]143
194.213.18[.]35
194.213.18[.]96
198.46.174[.]172
198.46.174[.]188
23.254.253[.]127
23.94.152[.]50
23.94.231[.]161
23.94.236[.]80
23.94.96[.]12
23.94.99[.]19
23.94.99[.]22
23.94.99[.]26
23.94.99[.]30
45.137.155[.]33
45.144.30[.]160
45.144.31[.]92
45.66.249[.]101
45.66.249[.]101
45.66.249[.]83
45.8.146[.]119
45.8.146[.]213
45.8.146[.]227
45.86.230[.]104
45.86.230[.]171
45.86.230[.]61
5.61.63[.]19
77.91.126[.]29
77.91.126[.]29
85.239.52[.]228
85.239.52[.]44
85.239.53[.]154
85.239.53[.]19
85.239.53[.]54
85.239.53[.]73
85.239.54[.]200
85.239.54[.]205
85.239.54[.]242
85.239.54[.]244
85.239.54[.]54
85.239.54[.]84
85.239.54[.]84
85.239.60[.]103
85.239.60[.]105
85.239.60[.]105
85.239.60[.]71
85.239.61[.]52
91.210.164[.]40
91.228.10[.]45
91.231.186[.]105
91.231.186[.]33
94.131.8[.]189
95.164.18[.]80


付録B — MITRE ATT&CK手法

戦術:手法 ATT&CKコード
Reconnaissance: Phishing for Information T1598
Resource Development: Stage Capabilities T1608

関連ニュース&研究