2019年後半にPupyRATマルウェアの標的となった欧州のエネルギーセクター組織

2019年後半にPupyRATマルウェアの標的となった欧州のエネルギーセクター組織

insikt-logo-blog.png
ここをクリック 完全な分析をPDFでダウンロードしてください

このレポートは、Insikt Groupの研究者が開発したシグネチャを使用して検出されたRATコントローラーの独自のRecorded Futureネットワークトラフィック分析に基づいています。 分析期間は、2019年11月28日から2020年1月5日までです。

このレポートは、主に、イランの国家脅威アクターが使用するマルウェアに関連する脅威ハンティングの任務を行っているエネルギーセクターで活動する組織のSOCアナリストと脅威インテリジェンス専門家にとって興味深いものです。

昨年、 Recorded Futureの調査 により、APT33(Elfinとも呼ばれる)を含む可能性のあるイラン・ネクサス・グループが、2019年を通じて運用ネットワーク・インフラの蓄積に多作であったことが実証された。さらに、2019 年 11 月、Microsoft は APT33 が IT ネットワークをターゲットにしていたことから、電力会社、製造、製油所で使用される物理制御システムに焦点を移したことを明らかにしました。また、国家が支援するイラン・ネクサス・グループが、自由に入手できるコモディティ・マルウェアを 多用 して、アクティブなネットワーク侵入を行っていることも記録しました。これらのツールは通常、防御的なレッドチーム演習に使用することを目的としています。いくつかのイラン・ネクサス・グループが使用しているツールの1つがPupyRATです。

Insikt Groupは、Recorded Futureリモートアクセス型トロイの木馬(RAT)コントローラーの検出とネットワークトラフィック分析技術を使用して、2019年11月下旬から少なくとも2020年1月5日までに、ヨーロッパのエネルギーセクター組織のメールサーバーと通信しているPupyRATコマンドアンドコントロール(C2)サーバーを特定しました。 メタデータだけでは侵害は確認されませんが、標的となったメールサーバーからPupyRAT C2への大量で繰り返される通信は、侵入の可能性を示すのに十分であると評価しています。

PupyRATはオープンな情報源Githubで 入手可能な RATで、開発者によると「主にPythonで書かれたクロスプラットフォーム、多機能RATおよびポストエクスプロイトツール」だという。 これは以前、イランのグループ APT33 (Elfin、Magic Hound、HOLMIUM) と COBALT GYPSY (APT34/OilRig と重複) によって使用されていました。

このコモディティRAT(PupyRAT)は、イランの脅威アクターグループであるAPT33とCOBALT GYPSYによって使用されていたことが知られていますが、私たちが特定したPupyRATコントローラーがどちらのイランのグループによっても使用されているかどうかは確認できません。 攻撃者が誰であれ、価値の高い重要インフラ組織のメールサーバーを標的にすることで、敵対者はヨーロッパのエネルギー割り当てとリソースに関する機密情報にアクセスできるようになる可能性があります。

欧州のエネルギー部門における主要組織の標的化は、欧州のエネルギー資源の調整におけるその役割を考えると、特に興味深いものです。イランのグループ(およびその他のグループ)は、米国とヨーロッパのさまざまな業界を標的にしており、最近の(脅威についての)レポート作成は、 エネルギー部門の産業用制御ソフトウェア の標的化 が増加 していることを示しています。

我々は、この活動が米国とイランの間の最近のキネティック・アクティビティのエスカレーションよりも前から存在しており、したがって、スパイ活動を動機とする侵入活動、または欧州のエネルギー部門における価値の高いネットワーク内でのネットワーク・アクセスの事前配置に関連している可能性が高いことを強調する。

PupyRATなどのコモディティRATから身を守るために、Recorded Futureは組織に次のことを推奨しています。