>
Insiktレポート

2019年後半にPupyRATマルウェアの標的となった欧州のエネルギーセクター組織

投稿: 2020年1月23日
作成者 : Insikt Group

insikt-logo-blog.png

ここをクリックして 、完全な分析をPDFとしてダウンロードしてください

このレポートは、Insikt Groupの研究者が開発したシグネチャを使用して検出されたRATコントローラーの独自のRecorded Futureネットワークトラフィック分析に基づいています。 分析期間は、2019年11月28日から2020年1月5日までです。

このレポートは、主に、イランの国家脅威アクターが使用するマルウェアに関連する脅威ハンティングの任務を行っているエネルギーセクターで活動する組織のSOCアナリストと脅威インテリジェンス専門家にとって興味深いものです。

昨年、 Recorded Futureの調査 では、APT33(Elfinとも呼ばれる)を含むイラン関連のグループが、2019年を通じて運用ネットワークインフラストラクチャを大量に蓄積してきたことが示されています。 さらに、2019年11月、Microsoftは、APT33がITネットワークから電力会社、製造、石油精製所で使用される物理制御システムに焦点を移したことを明らかにしました。 また、国家が支援するイラン関連グループが、自由に入手できるコモディティマルウェアを 多用して ネットワークに積極的に侵入している様子も記録しました。 これらのツールは通常、防御的なレッドチーム演習に使用することを目的としています。 いくつかのイラン関連グループが使用しているツールの1つがPupyRATです。

Insikt Groupは、Recorded Futureリモートアクセス型トロイの木馬(RAT)コントローラーの検出とネットワークトラフィック分析技術を使用して、2019年11月下旬から少なくとも2020年1月5日までに、ヨーロッパのエネルギーセクター組織のメールサーバーと通信しているPupyRATコマンドアンドコントロール(C2)サーバーを特定しました。 メタデータだけでは侵害は確認されませんが、標的となったメールサーバーからPupyRAT C2への大量で繰り返される通信は、侵入の可能性を示すのに十分であると評価しています。

PupyRATはGithub で利用可能な オープンソースRATであり、開発者によると、「主にPythonで書かれたクロスプラットフォームの多機能RATおよびポストエクスプロイトツール」です。 以前は、 イランのグループAPT33 (Elfin、Magic Hound、HOLMIUM)と COBALT GYPSY (APT34/OilRigと重複)によって使用されていました。

このコモディティRAT(PupyRAT)は、イランの脅威アクターグループであるAPT33とCOBALT GYPSYによって使用されていたことが知られていますが、私たちが特定したPupyRATコントローラーがどちらのイランのグループによっても使用されているかどうかは確認できません。 攻撃者が誰であれ、価値の高い重要インフラ組織のメールサーバーを標的にすることで、敵対者はヨーロッパのエネルギー割り当てとリソースに関する機密情報にアクセスできるようになる可能性があります。

欧州のエネルギーセクターの主要組織をターゲットとすることは、欧州のエネルギー資源の調整における彼らの役割を考えると、特に興味深いものです。 イランのグループ(およびその他のグループ)は、米国とヨーロッパのさまざまな業界を標的にしており、最近の報告では 、エネルギーセクターの産業用制御ソフトウェア を標的に することが増えている ことが示されています。

我々は、この活動が米国とイランの間の最近のキネティック・アクティビティのエスカレーションよりも前から存在しており、したがって、スパイ活動を動機とする侵入活動、または欧州のエネルギー部門における価値の高いネットワーク内でのネットワーク・アクセスの事前配置に関連している可能性が高いことを強調する。

PupyRATなどのコモディティRATから身を守るために、Recorded Futureは組織に次のことを推奨しています。

  • 同じIPから異なるアカウントに対する連続したログイン試行を監視します。 このタイプの活動は、従来のブルートフォースよりも検出が困難ですが、サイバーオペレーターが好む戦術から組織を保護するのに役立ちます。
  • 多要素認証を導入します。 これは、歴史的に高いレベルのクレデンシャルスタッフィング攻撃やパスワードスプレー攻撃を経験してきた多くの組織にとって、非常に効果的な緩和策であることが証明されています。
  • パスワードマネージャーを使用して、オンラインアカウントごとに一意の強力なパスワードを設定します。
  • ログデータを分析して相互参照します。 これは、高頻度のロックアウト、未承認のリモートアクセスの試み、複数のユーザーアカウント間での一時的な攻撃の重複、および一意のWebブラウザエージェント情報のフィンガープリントを含むインシデントを検出するのに役立つ場合があります。

関連