>
Insiktレポート

NOBELIUMが企業ブランドの誤用に使用するSOLARDEFLECTION C2インフラストラクチャ

投稿: 2022年5月3日
作成者 :  Insikt Group

insikt-logo-blog.png

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

このレポートでは、ロシアの国家支援型脅威活動グループNOBELIUMが使用している独自のインフラストラクチャについて紹介しています。 このアクティビティは、大規模な自動ネットワークトラフィック分析とオープンソースのレポートから導き出された分析の組み合わせによって特定されました。 データ・ソースには、Recorded Future Platform、SecurityTrails、DomainTools、PolySwarm、Farsight、Shodan、Censys、Team Cymru の Pure Signal™、その他の一般的なオープンソース・ツールと手法が含まれます。 このレポートは、サイバースペースおよびネットワーク防御者におけるロシア政府の活動に関連する戦略的および運用上の情報に従事する個人にとって最も興味深いものとなるでしょう。 NOBELIUMの活動に関する追跡技術と進行中の研究を保護するために、このレポートバージョンには、独自の研究からの技術的な詳細の一部は含まれていません。

Executive Summary

Recorded FutureのInsikt Groupは、複数の地理的地域にまたがる政府および民間組織を標的としたロシアの国家支援型サイバースパイ活動を引き続き監視しています。 2021年半ば以降、Recorded Futureの中間コレクションでは、Insikt GroupがSOLARDeflectionとして追跡するNOBELIUMインフラストラクチャの使用が着実に増加していることが明らかになりました。これには、コマンド&コントロール(C2)インフラストラクチャが含まれます。 このレポートでは、Insikt GroupがSOLARDeflectionインフラストラクチャと、そのオペレーターによるタイポスクワットドメインの定期的な使用を監視しながら観察した傾向に焦点を当てています。

脅威活動に関与するNOBELIUMのオペレーターから観察された主な要因は、他のブランドをエミュレートするドメイン(正当なものもあれば、架空のビジネスである可能性が高いものもある)に依存していることです。 ドメイン登録とタイポスクワッティングは、被害者のネットワークやブランドに脅威を与えるスピアフィッシングキャンペーンやリダイレクトを可能にする可能性があります。

プロアクティブな敵対者インフラストラクチャ検出、ドメイン分析手法、およびRecorded Future Network Traffic Analysisを組み合わせて使用することで、NOBELIUMによるSOLARDEFLECTIONインフラストラクチャの使用は、Microsoft、Fortinet、Sekoia、Volexityなどの複数の組織によって以前にグループに帰属していた他の一般的なインフラストラクチャ戦術、技術、手順(TTP)と重複していると判断しました。 以前のオープンソースレポートでは、NOBELIUMがCobalt Strike侵入テストツールのクラックバージョンを使用していることも強調されています。

主な判断

  • Insikt Groupは、特定されたSOLARDEFLECTIONインフラストラクチャがNOBELIUMとして公に報告されている脅威活動グループに起因すると確信しています。この信頼性は、これまでNOBELIUMが公開レポートで行っていた重複するネットワークインフラストラクチャの使用や、同グループが伝統的に使用してきたCobalt Strikeの独自のバリエーションに基づいています。
  • SOLARDEFLECTION C2タイポスクワットのより広範なテーマには、特にニュースおよびメディア業界における複数の業界にわたるブランドの誤用が含まれています。
  • SOLARDEFLECTIONモニタリングに関連するCobalt Strikeサーバーは、以前はNOBELIUMの活動にも関連していましたが、これはおそらく、標準のCobalt Strikeサーバー機能を積極的にスキャンしている研究者から検出されないようにするために、変更されたサーバー構成を使用していました。
  • NOBELIUMは、SSL証明書でタイポスクワットドメインを広範囲に使用しており、Cobalt Strikeツールを使用する際には、タイポスクワットリダイレクトなどの欺瞞的な手法を引き続き使用する可能性があります。

背景

NOBELIUMに起因する最近および過去のドメインの分析は、グループがさまざまなメディア、ニュース、テクノロジープロバイダーに精通し、模倣する傾向を広く示しています。 このグループは、ダイナミックDNS解決を悪用して、C2またはルートドメインのランダムに生成されたサブドメインを構築して解決し、被害者を誤解させています。 これらの攻撃の主な側面は、正当な組織のドメインに類似したメールアドレスまたはURLを使用することです。 潜在的に有害なドメイン登録やタイポスクワッティングは、スピアフィッシングキャンペーンやリダイレクトを可能にし、企業のブランドや従業員に高いリスクをもたらす可能性があります。 スピアフィッシングの成功は、メッセージの品質、送信者アドレスの信頼性、リダイレクトURLの場合はドメイン名の信頼性などの要素に左右されます。 Insikt Groupは以前、2020年の大統領選挙を狙ったものなど、他のロシアのネクサス グループが タイポスクワッティングを使用して作戦を支援し、被害者の資格情報を収集するために使用される不正なログインポータルの有効性に対する信頼性を高めていることを確認しています。 この戦術は、ロシアのウクライナ侵攻を支援すると思われる、ウクライナのエンティティを標的とした侵入に関連して、最近オープンソースでも 報告 されています。

Insikt Groupは、NOBELIUMがロシアの対外情報局(SVR)の目的に沿って活動している脅威活動グループであると評価しています。 SVRは、ロシア連邦大統領、連邦議会、および政府に、政治、経済、軍事戦略、科学技術戦略、および環境の分野で決定を下すために必要な情報を提供する任務を負っています。 ロシアのSVRは、ロシア情報総局(GRU)が軍事情報活動 に集中 できるようにし、SVRは政治情報 に焦点を当て ることで、自らを分離していると定義している。ただし、これはこれらの操作の非常に高レベルのビューです。 SVRは、対象国の戦略的政策や意思決定者に影響を与える組織や個人から戦略的な情報を収集することを意図して、公的および私的な手段を通じて情報を収集することにより、その業務を行っています。

2021年、Volexityは、政府機関である米国国際開発庁(USAID)から送信されたと称して、選挙詐欺をテーマにしたルアーを使用して、非政府組織(NGO)、研究機関、政府、国際機関を標的としたAPT29フィッシング作戦の疑いを概説した 研究 を発表しました。 同日、Microsoftは、同じキャンペーンで使用された広範なTTPに関する 研究 も発表し、この活動はSolarWindsの 侵入の背後にいるグループであるNOBELIUMによるものだとしている。 このキャンペーンは、2021年2月という早い時期に、機密性の高い外交機関や政府機関 を対象とし ていました。 彼らは、脅威アクターがこの情報を使用して、より広範なキャンペーンの一環として他の高度に標的を絞った攻撃を開始したと考えています。 追加の調査により、2021年以降にInsikt GroupがSOLARDEFLECTIONという名称で監視しているインフラストラクチャのクラスターが、この以前の報告と重複していることが確認されました。 Recorded Future Command and Controlセキュリティフィード内で進行中の検出は、NOBELIUMの作戦に関連する新しいタイポスクワットドメインの登録を確認するのに役立ちました。 さらに注目すべきは、新たに特定されたいくつかのタイポスクワットが、2020年という早い時期にNOBELIUM の報告 に関連している可能性が高いと最初にフラグが立てられた命名規則やテーマを引き続き採用していることを確認したことです。

SOLARDEFLECTION-C2-Infrastructure-Figure-1-1024x111.jpg 図1:Recorded FutureプラットフォームでのSOLARDEFLECTIONドメイン登録の参照(出典:Recorded Future)

Recorded Future Platform は、タイポスクワットされたドメインを自動的に検出します。新しく作成された各ドメイン エンティティは、Recorded Future によって観測された他のドメインとのタイポスクワッティング スタイルの類似性について評価されます。 この例は、図1に示されているSOLARDEFLECTIONタイポスクワットであり、ドメインのスペルに基づくと、NOBELIUMのオペレーターがT-Mobileブランドをエミュレートする試みであった可能性が非常に高いです。 過去2年間にSOLARDEFLECTIONドメインが登録された頻度のレビューにより、NOBELIUMは周期的にドメインを登録する傾向があり、時には短い休止期間を設けることがあり、これはいくつかのドメインをNOBELIUMの活動に起因するという新しいオープンソースの報告と一致している可能性があります(以下のRecorded Futureタイムラインに描かれています)。

SOLARDEFLECTION-C2-Infrastructure-Figure-2-1024x424.jpg 図2:SOLARDEFLECTIONタイポスクワット登録タイムライン(出典:記録された将来のデータ)

Insikt Groupは、グループが採用しているインフラストラクチャTTPを深く理解することで、SOLARDlectionインフラストラクチャをプロアクティブに検出します(詳細は「インフラストラクチャTTPs」セクションで説明します)。 さらに、コマンド アンド コントロール データ セットにより、「ポジティブ C2」として分類した SOLARDEFLECTION IP をエンリッチメントして特定できます。 次に、ネットワーク通信を分析して、C2が感染したマシンとどのように相互作用しているか、または敵対者によってどのように管理されているかを調査します。 SOLARDEFLECTION C2sは、Recorded Future Platformのコマンド&コントロールデータセット内からレビューできます。

編集者注 : 以下の投稿はレポート全文の抜粋です。分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。

関連