イランとネクサスの疑いのあるTAG-56は、米国のシンクタンクに対する資格情報の盗難にUAEフォーラムのルアーを使用します

イランとネクサスの疑いのあるTAG-56は、米国のシンクタンクに対する資格情報の盗難にUAEフォーラムのルアーを使用します

insikt-group-logo-updated-3-300x48.png
編集者注: ここをクリック をクリックして、レポートをPDFとしてダウンロードします。

このレポートでは、イランと関連性のある脅威活動グループが主導する広範なキャンペーンに関連している可能性が非常に高い脅威活動、TAG-56を取り上げています。 Insikt Groupは、脅威ハンティング技術を通じてこの脅威活動を発見しました。 この調査は、イランのサイバーオペレーション、ITセキュリティの従業員、シンクタンクのメンバー、非政府組織、ジャーナリスト、政府をカバーする個人や組織に関連しています。

Executive Summary

2022年11月初旬、Insikt Groupは、米国に拠点を置くシンクタンク、ワシントン研究所に向けられたイラン関連の脅威活動グループが主導した可能性が高いフィッシングおよびその後の認証情報窃取攻撃を特定しました。 資格情報の盗難コンポーネントは、アラブ首長国連邦 (UAE) 政府が主催する 2022 Sir Bani Yas Forum の Microsoft 登録フォームを装っています。 この脅威活動は、URL短縮サービスを利用して、認証情報が盗まれた悪意のあるページに被害者を誘導する、より広範なキャンペーンを示している可能性が非常に高いです。 この手口は、APT42やPhosphorusのようなイランと結びついたAPT(Advanced Persistent Threat)グループでよく見られます。

Insikt Groupは、認証情報の盗難ページをホストしている可能性が高い5つのドメインを特定しました。 この調査に関連する認証情報の盗難例は、2022年を通じてurlscanに提出されました。 最新の提出物は2022年11月3日にUAEから提出されました。 この記事の執筆時点では、この脅威活動は進行中のキャンペーンに関連している可能性が非常に高いです。 Insikt Groupは、この活動を一時的なグループ指定子TAG-56で追跡しています。

脅威分析

初期ディスカバリー

2022 年 11 月 3 日、Insikt Group は、図 1 に示すように、UAE のユーザーから 2022 Sir Bani Yas Forum の偽の Microsoft 登録フォームを返した不審な urlscan の送信を特定しました。 攻撃の意図された標的は、近東におけるアメリカ外交政策に焦点を当てたアメリカに本拠を置くシンクタンク、ワシントン研究所の上級研究員だ。 提出データによると、被害者はスピアフィッシングメッセージを受け取り、クリックするとapexドメイン名のURLにリダイレクトされる可能性が高いことが明らかになりました。網 — なりすまし登録ページがホストされている場所。

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_1.png

図1:Sir Bani Yas Forumにリンクされていると主張する登録フォーム(出典:urlscan)

ドメイン "mailer-daemon[.]ネット」 は、2022年10月11日にNamecheapを介して登録され、WHOISプライバシー保護を使用しています。 ドメインは162.0.232[.]252 2022年10月11日以降。 162.0.232[.]252は「ウェブホスティング[.]com"、 これは、Namecheapの共有ホスティングサービスに関連付けられています。

Insikt Groupは、以下の表1に示す4つのドメインをさらに特定しました。これらのドメインは、mailer-daemon[.]網。 1つのドメインを除くすべてのドメイン、「mailer-daemon[.]org"、 Namecheapの共有ホスティングサービスを使用します。 ドメイン "mailer-daemon[.]org」 GoDaddyを使用して登録されました。 オープンソース のレポートでは 、同様のドメイン、特に「mailerdaemon[.]私」 および "mailer-daemon-message[.]co」は、2020 年から 2021 年にかけて、Phosphorus APT グループのメンバーが攻撃を主導するために使用されました。

ドメイン
IPアドレス
最初の発見日
レジストラ
WHOIS登録
メーラーデーモン[.]オンライン
198.54.115[.]217
2022年11月23日
Namecheapの名前
プライバシー保護
メーラーデーモン[.]組織
92.205.13[.]202
2022年11月13日
ゴーダディ
プライバシー保護
メーラーデーモン[.]網
162.0.232[.]252
2022年10月11日
Namecheapの名前
プライバシー保護
メーラーデーモン[.]私
199.188.200[.]217
2022年5月31日
Namecheapの名前
プライバシー保護
メーラーデーモン[.]住む
199.188.200[.]217
2021年11月9日
Namecheapの名前
プライバシー保護

表 1: TAG-56 脅威アクティビティに関連付けられたドメイン名 (出典: Recorded Future)

偽のURL短縮サービス

偽のURL短縮サービス「tinyurl[.]インク」、 これは正規のサービスTinyURL(tinyurl[.]com)、 私たちの研究の一部として特定されました。 偽のURL短縮サービスは、「イランnuke.docx」というおとり文書 を配信する ために使用されました 「もう一つの欠陥のあるイラン取引とアメリカ政策の次の段階」と題され、タイトルが示すように、イランの核開発計画に関するものだ。 図2に示すこの文書は無害であり、攻撃者が意図したターゲットの予防行動を低下させるために使用された可能性があります。 2022年6月、米国とイスラエルの政府関係者を標的としたイランのAPTキャンペーンに関するレポートで、チェック・ポイント・リサーチは、会話を開始するために無害な文書がターゲットに送られた と指摘し ています。

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_2.png

図2:意図したターゲットに送信されたおとり文書(情報源: Tria.ge)

「イランnuke.docx」の配信の一環として、 TAG-56の工作員は、偽のURL短縮サービスを正規の短縮サービスtinyurl[.]コム 図 3 に示すように。 攻撃チェーンは、工作員が正規のURL短縮サービス(tinyurl[.]com) 疑わしいターゲットに対して。ターゲットがリンクをクリックすると、なりすましの同等物(tinyurl[.]インク)。 イスラエルからのurlscanへの別の 投稿 により、TAG-56はtinyurl[.]コム 「mailer-daemon[.]ライブ" ドメイン。 分析時点では、「mailer-daemon[.]ライブ" Namecheapが所有する別のIPアドレスに解決されました:198.54.116[.]118.

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_3.png

図3:イランの核文書へのリダイレクトの観測結果(出典:Recorded Future)

TAG-56がこの研究に関連するリンクをどのように拡散したかは不明ですが、スピアフィッシング、または暗号化されたチャットプラットフォームが配信に使用された可能性は高いです。 APT42に関連するものなど、一部のイラン関連のオペレーターは、被害者のWhatsAppまたはTelegramアカウントに直接リンクを送信し、チャットに参加してソーシャルエンジニアリングを通じて被害者を操作することが知られています。

ファイル名
SHA256ハッシュ
URL (英語)
最終更新日
イランnuke.docx
69EB4FCA412201039105D86
2D5F2BF12085D41CB18A933
98AFEF0BE8DFB9C229
hxxps[:]//tinyurl[.]インク/8TiO97CY/Iran%20nuke.docx
2022年2月28日

表2:イランのnuke.docxファイルに関連する情報(出典:Recorded Futureおよびurlscan)

表3に示すように、ドメイン「tinyurl[.]インク」 IPアドレス199.188.200[.]217 2021年12月中旬にNamecheapを介して登録されて以来。WHOISのプライバシー保護は、TAG-56の運用者によって再び採用されました。

ドメイン
IPアドレス
最初の発見日
WHOIS登録
tinyurl[.]墨
199.188.200[.]217
2021年12月12日
プライバシー保護

表 3: URL Shortener は 2021 年 12 月中旬から運用を開始しています (Recorded Future)

サーバー構成

Namecheapのサーバー構成 "tinyurl[.]インク」 Check Point Researchが報告した脅威活動との別の顕著な重複が明らかになりました:攻撃者は、Namecheapが提供する共有Webホストを使用してインフラストラクチャを確立しました。これは、Check Point Researchが報告したキャンペーンでも観察されたTAG-56の戦術、技術、手順(TTP)の側面です。このキャンペーンでは、攻撃者が制御するインフラストラクチャには、偽のURL短縮サービス「litby[.]私たち」。 これは、TAG-56の運用者が、独自のインフラストラクチャを確立するのではなく、専用のインフラストラクチャを取得することを好むことを示唆しています。

Check Point Researchersは、URL短縮サービスのHTMLも 引用 しています(litby[.]私たち) 2020年にPhosphorus APT に起因する 脅威活動のクラスターへの直接的なリンクが明らかになりました。 ドメイン "de-ma[.]オンライン」 図4で下線が引かれているのは、2020年11月以降、アクティブなDNS「A」レコードを持っていません。

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_4.png

図4:de-ma[.]オンラインdomain (情報源: チェック・ポイント・リサーチ)

Insikt Groupは、Sir Bani Yasのなりすまし登録ページのHTMLでコードが再利用されている可能性が高いことを確認しました。 JavaScript関数は、特に変数 "passwd.trim()=="SaudiG20"をリストします。 これは、Sir Bani Yasフォーラムとは関係がなく、2020年にサウジアラビアが主催したG20会議に関連している可能性が高いです。

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_5.png

図5:HTMLの調査により、JavaScript関数に「SaudiG20」変数が見つかった(出典:urlscan)

Sir Bani Yasフォーラムのなりすましログインページには、「 continue-to-settings.php 」という文字列を含む リダイレクト も含まれていました。同じ文字列は、2021年8月6日にurlscanに対して行われた別の投稿でも確認されています。 この 投稿 により、Yahooメールの悪意のあるログインページ(認証情報の盗難の別のケース)が明らかになりましたが、攻撃に使用された頂点ドメインは「continuetogo[.]私」。 このドメインは、2021 年 10 月に Google の Threat Analysis Group が発表したレポートで 言及 されており、APT35 に関連付けられています。 複数のサイバーセキュリティベンダーの脅威研究者は、APT35、Charming Kitten、TA453、APT42(およびその前身であるUNC788)の間に 戦略的 および 技術的な 重複があること を以前に明らかにしています 。

hxxps[:]//continuetogo[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/continue-to-settings.php
hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.X=xxxxxx/continue-to-settings.php

図6:APT35(Googleがアトリビューション)とTAG-56(出典:urlscan)にリンクされた2つの別々のキャンペーンの重複

軽減策

今後の展望

TAG-56は、APT42やPhosphorusなどのグループに関連する既知のTTPの多くを示しています。 これには、攻撃者が制御するインフラストラクチャに関連するドメイン命名規則、リサイクルされたコードの使用、および資格情報の盗難操作の意図された被害者が含まれます。 リサイクルされたHTMLコードの使用は、おそらくTAG-56の巧妙な手法の繰り返しの側面であり、脅威研究者による検出の可能性が高まっているにもかかわらず、攻撃者にTTPのシフトを正当化しないのに十分な投資収益率を提供している可能性があります。

APT42とリンに関連する脅威活動の被害者学は、シンクタンクが推定されるハンドラーにインテリジェンス価値の戦略的レベルの情報を提供するため、オープンソースで広く報告されています(123)。 TAG-56で特定された標的の重複は、この脅威クラスターが前述のAPTグループと強く重複しているという私たちの評価を裏付けています。

虫垂

ドメイン:

メーラーデーモン[.]網 メーラーデーモン[.]オンライン メーラーデーモン[.]私 メーラーデーモン[.]組織 メーラーデーモン[.]住む de-ma[.]オンライン tinyurl[.]墨 litby[.]私達

IPアドレス:

92.205.13[.]202 162.0.232[.]252 198.54.116[.]118 198.54.115[.]217 199.188.200[.]217

URL:

hxxps[:]//メーラーデーモン[.]net/file=sharing=system/file.id.x=xxxxxx/first.check.html hxxps[:]//continuetogo[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/continue-to-settings.php hxxps[:]//メーラーデーモン[.]net/file=sharing=system/file.id.X=xxxxxx/continue-to-settings.php hxxps[:]//メーラーデーモン[.]live/sec=file=sharing/check.id=xxxxxxxx=xxxxxx/index.php hxxps[:]//tinyurl[.]インク/8TiO97CY/Iran%20nuke.docx

SHA256ハッシュ:

69EB4FCA412201039105D862D5F2BF12085D41CB18A93398AFEF0BE8DFB9C229

ファイル:

イランnuke.docx