イランとつながりのある脅威アクター 2020年のMABNA研究所の活動

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

このレポートは、2020年を通じてInsikt Groupが報告した、イラン関連のMABNA研究所のキャンペーン活動や、より広範なサイバー研究コミュニティからの洞察を提供することを目的としています。 このレポートは、科学組織、学術機関、および学術セクターにサービスを提供するソフトウェアグループに役立つ可能性が最も高いです。 このレポートは、学術機関や科学組織のネットワークを保護するために活動しているブルーチームの擁護者や、イランとネクサスのサイバー活動を研究するCTIグループにとって興味深いものとなるでしょう。 Recorded Future® Platform、Insikt Groupの脅威調査、Proofpoint、RiskIQ、Malwarebytesの調査が参照されています。 この分析を行うために使用されるデータソースには、Recorded Future® Platform、Farsight DNSDB、DomainTools、およびその他の一般的なオープンソースツールと手法が含まれます。

Executive Summary

米国司法省によってイランのイスラム革命防衛隊(IRGC)と関連付けられている脅威アクターであるMABNA研究所は、2020年も例年と同様の戦術、技術、手順(TTP)を使用して学術および研究機関に対するグローバルな作戦を継続し、大規模なフィッシングや資格情報の盗難が彼らの活動を特徴づけています。

2020年を通じて、MABNA研究所、または攻撃者に関連していると疑われる運用クラスターは、イランの内外でドメイン登録やホスティングサービスなどのインフラストラクチャを使用し続けました。 注目すべきは、私たちの調査では、脅威アクターがキャンペーンでマルウェアを採用したという新たな証拠が明らかにされませんでした。 このことから、この脅威アクターは、認証情報の盗難業務を国際的に主導し、イラン国内の研究機関に認証情報を販売することに強い決意を固めている一方で、被害者のネットワークでの永続性を維持することは実用的ではないと考えている可能性が高いことが示唆されています。 ただし、これは、MABNA研究所に関連する他の要素が、さまざまなセクターに対してマルウェアベースの侵入を行うことを妨げるものではありません。 

Insikt Groupの研究では、MABNA研究所と証拠に基づく関連性を持たないグループも、ほぼ同じ活動に従事している可能性が高いことを示唆する証拠がさらに明らかになりました。 これは、世界中の大学や図書館機関への違法なアクセスに関心のある買い手を引き込む地下市場を示唆しています。 

この脅威アクターは2020年を通じて高いテンポを維持しており、このペースの作戦は2021年まで続き、ペルシャの新年である1400年(2021年3月から2022年3月)まで、これまでと同様に進む可能性が高く、学術機関や科学組織に対する新たな標的化が引き続き最優先事項となっています。

主な判断

• 2021年2月から3月にかけて記録された将来のネットワークトラフィック分析により、MABNAインスティテュートのポータルとスペインとスイスの学術機関との間のネットワーク通信が明らかになりました。
• イランでの研究と情報へのアクセスに対する需要と、それに影響を与えた国際的な制裁により、盗まれた資格情報の違法な市場が今後もMABNA研究所の運営を牽引し続ける可能性が非常に高いです。 
• Insikt Groupは、北米、英国、ヨーロッパ、中東、アフリカ、アジア、およびアジア太平洋地域の国際的な高等教育機関を、MABNA研究所の運営が疑われる標的として特定しています。 被害者学におけるこの特徴は、今後も続くと思われます。

編集者注 : この投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。