イランの脅威アクターが大規模なサイバーオペレーションインフラストラクチャネットワークを蓄積し、サウジアラビアの組織を標的に
分析の全文をPDFでダウンロードするには、ここをクリックしてください。
_Insikt Group®のリサーチャーは、Recorded Future Network Traffic AnalysisやRecorded Future Domain Analysisなどの独自の手法と一般的な分析手法を用いて、イランのサイバースパイ脅威アクターであるAPT33(Elfin)をプロファイリングし、2019年3月のTTPの公開が業務に影響を与えたかどうかを判断しました。
データソースには、Recorded Future® Platform、Farsight SecurityのDNSDB、ReversingLabs、VirusTotal、Shodan、および一般的なOSINT技術が含まれます。
このレポートは、中東の地政学に関心のある人々だけでなく、中東に拠点を置く組織や、航空宇宙・防衛、エネルギー、金融、電気通信、製造など、APT33が対象とする産業のネットワーク擁護者にとっても、最も興味深いものとなるでしょう。
この調査は、2019年2月10日から2019年6月6日の間に収集されたデータに基づいています。
Executive Summary
米国とイランは緊張をエスカレートさせ続けており、最近ではホルムズ海峡だけでなく、サイバー領域でもレトリックと行動を加速させています。過去3か月間、Recorded FutureのInsikt Groupは、APT33(Elfin)のインフラストラクチャ構築とターゲティング活動の増加を観察しており、2019年6月21日にYahoo! Newsは、米国サイバーコマンドが「イランのスパイグループ」に対してサイバー攻撃を開始したと報告しました。
イランの国家支援を受けた脅威アクターであるAPT33は、 少なくとも2013年からサイバースパイ活動を行っており、主に中東の国々を標的にしていますが、特に米国、韓国、欧州のさまざまな分野の商業団体を標的にしています。
Insikt Groupの研究者は、Recorded Future Domain AnalysisやRecorded Future Network Traffic Analysisなどの独自の手法と、その他の一般的な分析アプローチを使用して、 最近報告された イランの脅威アクターであるAPT33のドメインとホスティングインフラストラクチャをプロファイリングし、最近の活動を特定し、グループの戦術、技術、手順(TTP)をよりよく理解しました。
当社の調査によると、APT33(密接に連携した脅威アクター)は、2019年3月28日以降、1,200以上のドメインが使用され、コモディティマルウェアの使用に重点を置いており、広範なサイバースパイ活動の実施と準備を続けています。 コモディティマルウェアは、大規模なコンピュータネットワーク運用を行い、他の脅威アクターの活動のノイズの中に隠れて、アトリビューションの取り組みを妨げたいと考えている国家規模の脅威アクターにとって魅力的なオプションです。
主にサウジアラビアの組織をさまざまな業界にわたって 標的に していることは、このグループの過去の標的パターンと一致しており、彼らの活動が以前に暴露された後も抑止されていないようです。 欧米とサウジアラビア(公共部門と民間部門の両方)の組織は、歴史的にAPT33の標的にされてきた業界の組織で、地政学的な動向を監視し、特にフィッシングキャンペーン、Webシェル、サードパーティ(ベンダーとサプライヤー)との関係からの初期不正アクセスの検出と修復に重点を置いた運用上のセキュリティ制御の監視を強化する必要があります。 さらに、リアルタイムのセキュリティ インテリジェンスを使用して、内部ネットワークとホストベースのテレメトリのハンティングを改善する必要があります。
主な判断
2019年3月下旬の運用 の公表 を受けて、APT33の活動が疑われるドメインはパークされるか、新しいホスティングプロバイダーに変更されました。
APT33、または密接に連携した脅威アクターは、C2ドメインを一括で制御し続けています。
- 2019年3月28日以降だけでも、1,200以上のドメインが使用されています。
- これらのうち728人は、感染した宿主と通信していることが確認されました。
- 728のドメインのうち575のドメインは、ほとんどが公開されている19のRATの1つに感染したホストと通信していることが確認されました。
マルウェアファミリーに分類された疑わしいAPT33ドメインのほぼ60%は、以前はAPT33の活動に関連付けられていなかったRATであるnjRAT感染に関連していました。 AdwindRATやRevengeRATなどの他のコモディティRATマルウェアファミリーも、APT33ドメインの活動の疑いに関連していました。
私たちは、APT33、または密接に連携した脅威アクターが、3月下旬の開示以降、以下の組織を標的にしていると中程度の確信度で評価しています。
- サウジアラビアに本社を置き、エンジニアリングおよび建設、公益事業、テクノロジー、小売、航空、金融セクターで事業を展開するコングロマリット
- サウジアラビアの2つの医療機関
- 金属産業におけるサウジアラビアの企業
- インドのマスメディア企業
- 外交機関からの代表団
ナスル研究所とカヴォシュ・セキュリティ・グループの間のつながりに関する最近の報告、および技術的およびペルソナ分析は、APT33、APT35、およびMUDDYWATERの間で重複しており、おそらくイランがサイバー作戦を管理するために利用している階層構造の結果であると評価しています。
背景
APT33は、少なくとも2013年からサイバースパイ活動に従事しているイランの国家支援型脅威アクターです。 彼らは通常、コモディティマルウェアを使用しており、被害者を標的にするために運用を拡張できる広範なネットワークインフラストラクチャを所有しています。歴史的に、このターゲティングは、サウジアラビアに拠点を置く企業に重点を置いて、航空宇宙および防衛産業、および石油およびガス産業に焦点を当ててきました。 シマンテックのElfinのレポートでは 、エンジニアリング、化学、研究、金融、IT、ヘルスケアの各セクターをターゲットとしていることが示されています。 Recorded FutureのInsikt Groupは、2017年10月に発表された調査を皮切りに、APT33の活動を監視しており、脅威アクターに関連する新しいインフラストラクチャ、マルウェアハッシュ、TTPが明らかになりました。
脅威分析
2019年3月27日、シマンテックは「Elfin: Relentless Espionage Group Targets Multiple Organizations in Saudi Arabia and U.S.」と題する調査を発表しました。このレポートでは、3年間のAPT33サイバースパイ活動の概要が説明されています。 Insikt Groupのリサーチャーは、その調査で提供されたIPアドレスとマルウェアハッシュを使用して、APT33が使用する悪意のあるドメインの追跡分析を行い、次の2つのことを特定しました。
- APT33が活動を続けていたかどうか、もしそうなら、出版に応じてTTPを変更したかどうか
- 公表に値する、以前に報告されていないグループによって行われた歴史的な活動があったかどうか
ナスル研究所とカヴォシュ・リダックス
前回のレポート「イランのハッカー階層が暴露」では、2017年にFireEyeがAPT33の請負業者であるNasr Instituteを暴露したことと、イランのハッカーコミュニティの構成と動機に関する当社の情報から、イランの国家が支援する攻撃的なサイバープログラム内に階層構造があることを指摘していると結論付けました。 我々は、イランの国家支援作戦の多くが、イラン革命防衛隊(IRGC)または情報保安省(MOIS)によって指揮されていると評価した。
以前の調査に情報を提供したInsikt Groupの機密情報源によると、これらの組織は、脆弱性の調査、エクスプロイト開発、偵察、ネットワーク侵入や攻撃の実施などの活動を行う50を超える契約組織の区分化されたタスクを担当する、イデオロギー的に連携したタスクマネージャーの中間層を採用していました。 攻撃的なサイバー能力を開発する際に、これらの個別の各コンポーネントは、包括的な作戦の完全性を保護し、IRGCおよび/またはMOISが作戦の制御を維持し、不正なハッカーからのリスクを軽減するために、意図的に異なる契約グループに割り当てられました。
攻撃作戦へのイラン政府の関与を曖昧にしている。
また、FireEyeは2017年のレポートで、APT33 TURNEDUPバックドアサンプルのPDBパス内で見つかったオンラインハンドル「xman_1365_x」が、Nasr Instituteの個人のものであると指摘しています。 その後、同じハンドルがNewsBeefおよびStoneDrillマルウェアファミリを使用した破壊的な操作にリンクされました。 その後、2017年3月、研究者はStoneDrillをShamoon 2のオペレーションとAPT35(Charming Kitten、Newscaster、NewBeefとも呼ばれる)の脅威アクターと 関連付け ました。
以前の分析では、「xman_1365_x」の背後にいる人物が、イランのハッキングフォーラムでマシュハド出身のマフディ・ホナルヴァルと自認していることが示されており、2017年頃からカヴォシュセキュリティセンターにも所属していたと推測されています。
イランのサイバーエコシステムにおけるカヴォシュの役割は、2006年から2014年の間、カヴォシュが「ニマ・ニクジュー」の雇用主であったことを詳述したGroup-IBの 最近の分析 によってさらに明らかになった。 彼らの分析では、トルコの軍用電子機器メーカーを標的とした2019年3月のキャンペーンは、別のイランの脅威アクターであるMUDDYWATERによって行われたと結論付けられました。 MUDDYWATERは、作者が「Gladiyator_CRK」であること、名前が「Nima」であることを示すメタデータを含むマルドクに拡散したPOWERSTATSバックドアを使用しました。 さらに、2014年のブログで、関係が疑われる「[email protected]」という電子メールアドレスが「نیما نیکجو」(「Nima Nickjou」と訳される)と関連付けられていた。 「0xffff0800」というペンネームで書かれた別の研究ブログは、これらの発見のいくつかを裏付け、「ニマ・ニッジュー」が「ニマ・ニッジュー・タブリージ」であることを明らかにしました。
APT33の脅威アクターと疑われるNima Nikjoo TabriziのLinkedInプロフィール写真。 (2019年6月14日閲覧)
ニマ・ニクジュー・タブリージとは?
OSINTは、Nima Nikjoo Tabriziの名前でアクティブなLinkedinアカウントと他のアクティブなソーシャルメディアアカウントがあることを明らかにし、彼がSymantecのリバースエンジニアおよびマルウェアアナリストであると主張しています。 しかし、SymantecはRecorded Futureに対し、Tabriziが彼らのために働いたことは一度もないことを確認した。
「私たちは長い間、この人物のことを知っていました。 Nima Nikjooはシマンテックの従業員ではなく、シマンテックでこの名前の個人が働いていたという記録はありません。」
政府機関であるナスル研究所と、イランの国家が支援するサイバースパイ活動と強い関係を持つ カヴォシュセキュリティセンターで働いていたことが暴露されたため、タブリージがイラン国家に代わってサイバースパイ活動に従事していることを高い確信を持って評価しています。
APT33の脅威アクターと疑われるNima Nikjoo Tabriziの職歴。
この情報に基づくと、ナスル研究所がイランの国家支援による攻撃的なサイバー活動の隠れ蓑であることが暴露されると、従業員は自分の身元を保護し、さらなる曝露を最小限に抑えるために、カヴォシュなどの他の組織に移行した可能性があります。 2017年にマフディ・ホナルヴァルとカヴォシュ・セキュリティ・センターとのつながりが明らかになるまで、ナスル研究所に関連する暴露は広く報告されていませんでした。 したがって、技術情報と個人情報の重複は、脅威アクターAPT33、APT35、およびMUDDYWATER間の歴史的なつながりを示していると評価しています。
イランの脅威アクターの間でのこれらの技術的およびペルソナの重複は、イランのサイバー作戦に対する国家管理の階層構造を考えると、予想外ではありません。 この構造の中で、マネージャーは複数のチームを運営しており、その中には政府機関に関連するものもあれば、民間企業と契約しているもの( ITSec Teamなど)もあると評価しました。
技術的分析
APT33 クリーンアップ?
シマンテックが文書化したAPT33指標から始めて、Insikt Groupは、Recorded Futureプラットフォーム内のFarsight Security拡張機能を使用して、グループが使用するドメインとホスティングインフラストラクチャをプロファイリングし、一部のドメインの更新されたIP解像度を明らかにしました。
| ドメイン | 元の IP 解決 (シマンテックのレポートによる) | IP決議の更新 |
|---|---|---|
| backupnet.ddns[.]網 | 25.187.21[.]71, 91.230.121[.]143 | 95.183.54[.]119 |
| hyperservice.ddns[.]網 | 8.26.21[.]119 | 95.183.54[.]119 |
| microsoftupdated[.]コム | 5.187.21[.]70 | 52.45.178[.]122 |
| マイネットワーク[.]参考 | 192.119.15[.]41, 195.20.52[.]172 | 195.20.52[.]172 |
| mypsh.ddns[.]網 | 162.250.145[.]204, 162.250.145[.]234, 192.119.15[.]35, 192.119.15[.]37, 64.251.19[.]214, 64.251.19[.]231, 64.251.19[.]232, 8.26.21[.]120, 8.26.21[.]221, 8.26.21[.]222 | 現在の分解能なし |
| mypsh.ddns[.]網 | 5.79.127[.]177 | 0.0.0[.]0 |
| mywinnetwork.ddns[.]網 | 91.235.142[.]76, 91.235.142[.]124, 89.34.237[.]118 | 0.0.0[.]0 |
| remote-server.ddns[.]網 | 192.119.15[.]39, 91.230.121[.]143 | 0.0.0[.]0 |
| remserver.ddns[.]網 | 217.147.168[.]44, 91.230.121[.]144 | 0.0.0[.]0 |
| securityupdated[.]コム | 217.13.103[.]46 | 204.11.56[.]48 |
| servhost.hopto[.]組織 | 37.48.105[.]178 | 95.183.54[.]119, 0.0.0[.]0 |
| サービスアバント[.]コム | 213.252.244[.]14 | 213.252.244[.]144, 51.77.102[.]108 |
| srvhost.servehttp[.]コム | 8.26.21[.]117, 64.251.19[.]216 | 95.183.54[.]119 |
| svcexplores[.]コム | 8188.165.4[.]81 | - |
| update-sec[.]コム | 95.211.191[.]117 | - |
予想どおり、元のシマンテックレポートで公開されたドメインの多くは、パークされているか、実際の IPv4 アドレスに解決されなくなりました。 興味深いことに、元のドメインのうち4つ(backupnet.ddns[.]網 hyperservice.ddns[.]網 servhost.hopto[.]組織 および srvhost.serveHttp[.]com) は、すべて公開の翌日に更新され、同じIPアドレス(95.183.54[.]119. このIPは、スイスの専用ホスティングプロバイダーであるSolar Communications GmBHに登録されています。 これらのドメインが同様に駐車されなかった理由は不明です。 考えられる理由は次のとおりです。
- これらのドメインは、脅威アクターによって高い価値があると判断されたため、継続的な運用目的で保持されました。
- 運営者は、管理上の理由からドメインを更新するのに苦労したか、更新できませんでした。
™ microsoftの更新[.]com、 Farsight Security 拡張機能を使用して強化されます。
関連する可能性のある追加のインフラストラクチャを特定するために、スイスのIPアドレス95.183.54[.]119のドメインと、2019年2月中旬以降に新たにIPに解決された約40のドメインを特定しました。 選択したドメインからのRATマルウェア通信を確実に特定しました。
| ドメイン | IPアドレス | マルウェアがドメインと通信しているのを観察 |
|---|---|---|
| windowsx.sytes[.]網 | 95.183.54[.]119 | ナノコア |
| hellocookies.ddns[.]網 | 95.183.54[.]119 | ナノコア、QuasarRATバリアント |
| njrat12.ddns[.]網 | 95.183.54[.]119 | njRAT |
| trojan1117.hopto[.]組織 | 95.183.54[.]119 | njRAT |
| wwwgooglecom.sytes[.]網 | 95.183.54[.]119 | njRAT |
| newhost.hopto[.]組織 | 95.183.54[.]119 | njRAT、ダークコメット |
| za158155.ddns[.]網 | 95.183.54[.]119 | njRAT |
さらに、スイスのIPに解決されたドメインの多くは、XTreme RAT、xtreme.hopto[.]組織 および njRAT ( njrat12.ddns[.]net)、 Netcat(n3tc4t.hopto[.]com)です。 興味深いことに、 BistBots (bistbotsproxies.ddns[.]ネット) も同じIPで共同ホストされました。 これは、最新の高速インターネットプロキシを求めるBistBotsのユーザーを標的にし、ネットワークフィルタリングを回避し、イランで制限されている Facebook、Twitter、YouTubeなどのサイトにアクセスしたいという願望を示している可能性が高いと評価しています。
windowsx.sytes[.]網 njrat12.ddns[.]網 およびwwwgooglecom.sytes[.]網 は、NanocoreとnjRATのC2™として分類されていることを示しています。 詳細な情報は、マルウェアマルチスキャナーリポジトリからのハッシュレポートと、ドメインへの直接参照を含むマルウェアの爆発から導き出された相関関係です。
興味深いことに、シマンテックの調査ではAPT33がNanocoreを使用していることが指摘されていますが、njRATは言及されておらず、グループの増え続けるコモディティマルウェアのレパートリーにこれまで知られていなかったものが追加されていることを示しています。
Recorded Future Intelligence Card™ for windowsx.sytes[.] のコンテキスト パネル網 ドメインとNanocore RATマルウェアの関係を示しています。
以下のMaltegoのグラフは、スイスのIPでホストされている選択されたドメインのリンク分析と、マルウェアファミリ名に関連付けられた派生ハッシュを示しています。
既知の悪意のあるAPT33にリンクされたIPでホストされているドメインのMaltegoグラフ。
インフラストラクチャの相関関係の深化
Insikt Groupは、2019年1月以降にAPT33によって使用されたと報告されたすべてのドメインを列挙しました。 パッシブDNSや同様のアプローチを使用した一般的なインフラストラクチャホスティングパターンをピボットして、APT33の疑いのあるインフラストラクチャをさらに特定しました。
予備的な分析では、シマンテックが文書化したキャンペーンの背後にいるのと同じAPT33攻撃者によって管理されている可能性が高い1,252の一意の相関ドメインが特定されました。 これらのうち、728のドメインが感染したホスト上のファイルと通信していると特定され、そのうち575はRATマルウェアファミリと正の相関関係がありました。 残りの153のドメインは、AVエンジンのヒットに基づいて悪意のあるものとして識別されましたが、特定のマルウェアファミリに自動的に分類することはできませんでした。
編集者注:疑わしいAPT33ドメインに接続されているドメイン、ハッシュ、および関連するIPアドレスインフラストラクチャの選択は、まもなく「Weaponized Domains」と呼ばれる特殊な認定データセットでRecorded Futureのクライアントに提供され、企業はダイナミックDNS(DDNS)ドメインを含む悪意のある無料/匿名インフラストラクチャとの相互作用を規制できるようになります。
APT33マルウェアの使用が疑われる円グラフ。
2019年3月28日以降の、これらの疑わしいAPT33ドメインとそれに関連するマルウェアファミリーのトップレベルの活動の内訳によると、ドメインの60%がnjRATマルウェアを使用しており、他のさまざまなコモディティツールが使用されていることが明らかになりました。 合計で1,804の固有のマルウェアハッシュが分析され、以下に示す19のマルウェアファミリに分類されました。
| マルウェアファミリ | 割合 (%) |
|---|---|
| NJRat | 59.99 |
| 不明 | 25.35 |
| リベンジRAT | 4.40 |
| ナノコアRAT | 3.96 |
| ダークコメット | 1.74 |
| スパイネット | 0.87 |
| レムコスRAT | 0.76 |
| エクストリームRAT | 0.60 |
| 差し迫ったモニター | 0.43 |
| NetWireRAT | 0.33 |
| オルクス | 0.33 |
| クエーサーRAT | 0.27 |
| 888ラット | 0.22 |
| qラット | 0.22 |
| アドウィンド | 0.16 |
| サンドロラット | 0.11 |
| プラズマRAT | 0.11 |
| AsyncRAT | 0.05 |
| ビターラット | 0.05 |
| ストーンドリル | 0.05 |
この表と添付のグラフから、APT33、または密接に連携した脅威アクターは、コモディティマルウェアと公開されているツールを継続的に使用しており、njRAT、RevengeRAT、AdwindRATなど、これまで脅威アクターに関連していると報告されていなかったいくつかのマルウェアファミリーを追加していることがわかりました。 サンプルのかなりの割合(25%)は、悪意があると見なされましたが、さらなる手動の静的分析を保証するのに十分な信頼性で決定的に分類できない一般的なコードが含まれていました。 今後の分析では、これらのサンプルに引き続き注力していきます。
多くのドメインは、MicrosoftやGoogleなどのなりすましのグローバルテクノロジープロバイダーや、ビデオ会議プロバイダーのZoomなどのビジネス指向のWebベースのサービスを発見しました。 地政学をテーマにしたドメインは、vichtorio-israeli.zapto[.]組織 (イスラエルへの勝利), fucksaudi.ddns[.]コム と palestine.loginto[.]私。 ホスト名の選択は、イラン・イスラム共和国の敵と見なしているもの、特にイスラエル、サウジアラビア、湾 岸協力会議 (GCC)諸国に対するAPT33作戦の標的パターンに関する洞察を提供する可能性があります。
| ドメイン | マルウェアファミリ | SHA256 (英語) |
|---|---|---|
| fucksaudi.ddns[.]網 | リベンジRAT | D8E60135AECB3A2A7422C06CFB94ED9AAF1182145D1C482F84B0BD81AA5D2416 |
| googlechromehost.ddns[.]網 | ナノコアRAT | E2CFC91085B9B5DB41C4C4297C594758DD9A0C8561CE4544DA9FAEDD3A6B91E8 |
| backupnet.ddns[.]網 | ストーンドリル | A217EB149B65552E3127C65C306AA521DCA54959CEEE89E85DD2E6E38C0D8F8B |
| younesadams.ddns[.]網 | サンドロラット | 410b5f374059cc21b2c738a71957c97e4183d92580d1d48df887deece6d2f663 |
| teamnj.ddns[.]網 | ダークコメット | E144DB21CC5F8F57AA748C0A8E4008FC34f8dd831eb2442EB35961E4CDF41F22 |
疑わしいAPT33悪意のあるドメインと相関するハッシュの選択。 記録された将来のクライアントは、APIダウンロードを介して認定データセットのドメインの完全なリストにアクセスできるようになります。
対象組織
Insikt Groupの研究者は、Recorded Future Domain Analysisのデータを使用し、Recorded Future Network Traffic Analysisから得られたデータと組み合わせることで、APT33の活動が疑われる標的となりそうな組織を特定することができました。
| 対象組織 | セクター | 事業国 | 観察された活動の日付 | APT33 C2 IPの可能性あり |
|---|---|---|---|---|
| 組織1 | テクノロジー, 水・電気, エンジニアリング・建設, 小売・金融 | サウジアラビア、アラブ首長国連邦、エジプト、トルコ、クロアチア | 2019年5月2日[土]-6月3日[日] | 134.3.20[.]151 |
| 組織2 | マスメディア | インド | 2019年5月4日(土)〜6月1日(日) | 134.3.20[.]151 |
| 組織3 | 外交 | ブルキナファソ | 2019年5月2日 | 134.3.20[.]151 |
| 組織 4 および 5 | ヘルスケア | サウジアラビア | 2019年5月2日(土)〜5月8日(日) | 41.103.3[.]7, 46.249.47[.]193 |
| 組織6 | インダストリアル | サウジアラビア | 2019年5月25日(土)〜6月3日(日) | 62.113.171[.]186 |
今後の展望
今年初めにシマンテックが幅広いインフラストラクチャと運用を公開した後、APT33(密接に連携したアクター)が、ドメインインフラストラクチャの一部を一時停止または再割り当てすることで対応していることを発見しました。 この活動がレポート公開からわずか1日ほど後に実行されたという事実は、イランの脅威アクターが自分たちの活動に関するメディアの報道を鋭敏に認識しており、迅速に対応できるほど機知に富んでいることを示唆しています。
3月下旬以降、APT33の脅威アクターと疑われる人物は、1,200ドメインをはるかに超える大規模な運用インフラストラクチャを使用し続けており、その多くが19種類のコモディティRATインプラントと通信していることが確認されています。 興味深い展開は、njRATに対する彼らの嗜好の高まりのようで、観察された疑わしいAPT33インフラストラクチャの半分以上がnjRATの展開に関連しています。
以前に報告されたAPT33の作戦のように、営利団体や地域の敵対者を広く標的にすることは観察されていませんが、私たちが観察した標的組織は、主にサウジアラビアのさまざまな業界に拠点を置いており、地政学的な目的に沿った継続的な標的が行われていることを示しています。 私たちの研究で発見された大量のインフラストラクチャは、より広範な継続的な運用活動、または将来のサイバースパイ活動の基礎を築くことを示している可能性が高いと評価しています。 組織は、APT33 の活動が疑われる証拠がないか、以下の「ネットワーク防御に関する推奨事項」セクションのガイダンスに従って、ネットワークを監視する対策を講じることをお勧めします。
最後に、Recorded Futureのクライアントへの推奨事項は、悪意のあるAPTインフラストラクチャの特定を支援する予測分析から導き出された、今後の「Weaponized Domains」認定データセットを使用することです。 これは、セキュリティ チームが忠実度の高い悪意のあるインジケーターを大規模にハンティング、検出、ブロックできるようにすることを目的としています。
ネットワーク防御に関する推奨事項
Recorded Futureは、APT33の疑わしい活動を検出して軽減するために、組織が次の対策を講じることを推奨しています。
- 侵入検知システム (IDS)、侵入防止システム (IPS)、またはネットワーク防御メカニズムを設定して、付録 A にリストされている外部 IP アドレスとドメインからの不法な接続の試みを警告し、確認した上でブロックを検討してください。
- APT33に関する以前のブログで詳述したように、ダイナミックDNS(DDNS)は、セキュリティ制御の実装に関連する運用上のチョークポイントであり続けています。 DDNS サブドメインを含むすべての TCP/UDP ネットワーク トラフィックは、ブロックしてログに記録する必要があります ( DNS RPZ などを使用)。
- 付録 B にリストされている新しいルールについて、企業全体で定期的な Yara スキャンを実行します。
関連する侵害の兆候の完全なリストを表示するには 、付録をダウンロードしてください。
関連