イランとネクサスの疑いのあるTAG-56は、米国のシンクタンクに対する資格情報の盗難にUAEフォーラムのルアーを使用します
編集者注:レポートをPDFとしてダウンロードするには 、ここをクリックしてください 。
このレポートでは、イランと関連性のある脅威活動グループが主導する広範なキャンペーンに関連している可能性が非常に高い脅威活動、TAG-56を取り上げています。 Insikt Groupは、脅威ハンティング技術を通じてこの脅威活動を発見しました。 この調査は、イランのサイバーオペレーション、ITセキュリティの従業員、シンクタンクのメンバー、非政府組織、ジャーナリスト、政府をカバーする個人や組織に関連しています。
Executive Summary
2022年11月初旬、Insikt Groupは、米国に拠点を置くシンクタンク、ワシントン研究所に向けられたイラン関連の脅威活動グループが主導した可能性が高いフィッシングおよびその後の認証情報窃取攻撃を特定しました。 資格情報の盗難コンポーネントは、アラブ首長国連邦 (UAE) 政府が主催する 2022 Sir Bani Yas Forum の Microsoft 登録フォームを装っています。 この脅威活動は、URL短縮サービスを利用して、認証情報が盗まれた悪意のあるページに被害者を誘導する、より広範なキャンペーンを示している可能性が非常に高いです。 この手口は、APT42やPhosphorusのようなイランと結びついたAPT(Advanced Persistent Threat)グループでよく見られます。
Insikt Groupは、認証情報の盗難ページをホストしている可能性が高い5つのドメインを特定しました。 この調査に関連する認証情報の盗難例は、2022年を通じてurlscanに提出されました。 最新の提出物は2022年11月3日にUAEから提出されました。 この記事の執筆時点では、この脅威活動は進行中のキャンペーンに関連している可能性が非常に高いです。 Insikt Groupは、この活動を一時的なグループ指定子TAG-56で追跡しています。
脅威分析
初期ディスカバリー
2022 年 11 月 3 日、Insikt Group は、図 1 に示すように、UAE のユーザーから 2022 Sir Bani Yas Forum の偽の Microsoft 登録フォームを返した不審な urlscan の送信を特定しました。 攻撃の意図された標的は、近東におけるアメリカ外交政策に焦点を当てたアメリカに本拠を置くシンクタンク、ワシントン研究所の上級研究員だ。 提出データによると、被害者はスピアフィッシングメッセージを受け取り、クリックするとapexドメイン名のURLにリダイレクトされる可能性が高いことが明らかになりました。網 — なりすまし登録ページがホストされている場所。
図1:Sir Bani Yas Forumにリンクされていると主張する登録フォーム(出典:urlscan)
The domain “mailer-daemon[.]net” was registered on October 11, 2022, via Namecheap and uses WHOIS privacy protection. The domain has resolved to 162.0.232[.]252 since October 11, 2022. The reverse DNS for 162.0.232[.]252 is “web-hosting[.]com”, which is associated with Namecheap's shared hosting services.
Insikt Groupは、以下の表1に示す4つのドメインをさらに特定しました。これらのドメインは、mailer-daemon[.]網。 1つのドメインを除くすべてのドメイン、「mailer-daemon[.]org"、 Namecheapの共有ホスティングサービスを使用します。 ドメイン "mailer-daemon[.]org」 GoDaddyを使用して登録されました。 オープンソース のレポートでは 、同様のドメイン、特に「mailerdaemon[.]私」 および "mailer-daemon-message[.]co」は、2020 年から 2021 年にかけて、Phosphorus APT グループのメンバーが攻撃を主導するために使用されました。
| ドメイン | IPアドレス | 最初の発見日 | レジストラ | WHOIS登録 |
| メーラーデーモン[.]オンライン | 198.54.115[.]217 | 2022年11月23日 | Namecheapの名前 | プライバシー保護 |
| メーラーデーモン[.]組織 | 92.205.13[.]202 | 2022年11月13日 | ゴーダディ | プライバシー保護 |
| メーラーデーモン[.]網 | 162.0.232[.]252 | 2022年10月11日 | Namecheapの名前 | プライバシー保護 |
| メーラーデーモン[.]私 | 199.188.200[.]217 | 2022年5月31日 | Namecheapの名前 | プライバシー保護 |
| メーラーデーモン[.]住む | 199.188.200[.]217 | 2021年11月9日 | Namecheapの名前 | プライバシー保護 |
表 1: TAG-56 脅威アクティビティに関連付けられたドメイン名 (出典: Recorded Future)
偽のURL短縮サービス
偽のURL短縮サービス「tinyurl[.]インク」、 これは正規のサービスTinyURL(tinyurl[.]com)、 私たちの研究の一部として特定されました。 偽のURL短縮サービスは、「イランnuke.docx」というおとり文書 を配信する ために使用されました 「もう一つの欠陥のあるイラン取引とアメリカ政策の次の段階」と題され、タイトルが示すように、イランの核開発計画に関するものだ。 図2に示すこの文書は無害であり、攻撃者が意図したターゲットの予防行動を低下させるために使用された可能性があります。 2022年6月、米国とイスラエルの政府関係者を標的としたイランのAPTキャンペーンに関するレポートで、チェック・ポイント・リサーチは、会話を開始するために無害な文書がターゲットに送られた と指摘し ています。
Figure 2: Decoy document sent to intended targets (Source: Tria.ge)
As part of the delivery of “Iran nuke.docx”, TAG-56 operatives used the fake URL shortener in conjunction with the legitimate shortening service tinyurl[.]com as depicted in Figure 3. The attack chain started with the operatives delivering a message using the legitimate URL shortener (tinyurl[.]com) against a suspected target; if the target clicked on the link, they were redirected to the spoofed equivalent (tinyurl[.]ink). Another submission to urlscan from Israel revealed that TAG-56 used tinyurl[.]com to engage with a suspected target using the “mailer-daemon[.]live” domain. At the time of analysis, “mailer-daemon[.]live” resolved to another IP address owned by Namecheap: 198.54.116[.]118.
図3:イランの核文書へのリダイレクトの観測結果(出典:Recorded Future)
TAG-56がこの研究に関連するリンクをどのように拡散したかは不明ですが、スピアフィッシング、または暗号化されたチャットプラットフォームが配信に使用された可能性は高いです。 APT42に関連するものなど、一部のイラン関連のオペレーターは、被害者のWhatsAppまたはTelegramアカウントに直接リンクを送信し、チャットに参加してソーシャルエンジニアリングを通じて被害者を操作することが知られています。
| ファイル名 | SHA256ハッシュ | URL (英語) | 最終更新日 |
| イランnuke.docx | 69eb4fca412201039105d86 2d5f2bf12085d41cb18a933 98afef0be8dfb9c229 |
hxxps[:]//tinyurl[.]インク/8TiO97CY/Iran%20nuke.docx | 2022年2月28日 |
表2:イランのnuke.docxファイルに関連する情報(出典:Recorded Futureおよびurlscan)
As noted in Table 3, the domain “tinyurl[.]ink” has resolved to IP address 199.188.200[.]217 since it was registered via Namecheap in mid-December 2021; WHOIS privacy protections were again employed by TAG-56 operators.
| ドメイン | IPアドレス | 最初の発見日 | WHOIS登録 |
| tinyurl[.]墨 | 199.188.200[.]217 | 2021年12月12日 | プライバシー保護 |
表 3: URL Shortener は 2021 年 12 月中旬から運用を開始しています (Recorded Future)
サーバー構成
Namecheapのサーバー構成 "tinyurl[.]インク」 Check Point Researchが報告した脅威活動との別の顕著な重複が明らかになりました:攻撃者は、Namecheapが提供する共有Webホストを使用してインフラストラクチャを確立しました。これは、Check Point Researchが報告したキャンペーンでも観察されたTAG-56の戦術、技術、手順(TTP)の側面です。このキャンペーンでは、攻撃者が制御するインフラストラクチャには、偽のURL短縮サービス「litby[.]私たち」。 これは、TAG-56の運用者が、独自のインフラストラクチャを確立するのではなく、専用のインフラストラクチャを取得することを好むことを示唆しています。
Check Point Researchersは、URL短縮サービスのHTMLも 引用 しています(litby[.]私たち) 2020年にPhosphorus APT に起因する 脅威活動のクラスターへの直接的なリンクが明らかになりました。 ドメイン "de-ma[.]オンライン」 図4で下線が引かれているのは、2020年11月以降、アクティブなDNS「A」レコードを持っていません。
Figure 4: HTML code revealing links to de-ma[.]online domain (Source: Check Point Research)
Insikt Groupは、Sir Bani Yasのなりすまし登録ページのHTMLでコードが再利用されている可能性が高いことを確認しました。 JavaScript関数は、特に変数 "passwd.trim()=="SaudiG20"をリストします。 これは、Sir Bani Yasフォーラムとは関係がなく、2020年にサウジアラビアが主催したG20会議に関連している可能性が高いです。
図5:HTMLの調査により、JavaScript関数に「SaudiG20」変数が見つかった(出典:urlscan)
Sir Bani Yasフォーラムのなりすましログインページには、「 リダイレクト も含まれていました。 」という文字列を含む continue-to-settings.php同じ文字列は、2021年8月6日にurlscanに対して行われた別の投稿でも確認されています。 この 投稿 により、Yahooメールの悪意のあるログインページ(認証情報の盗難の別のケース)が明らかになりましたが、攻撃に使用された頂点ドメインは「continuetogo[.]私」。 このドメインは、2021 年 10 月に Google の Threat Analysis Group が発表したレポートで 言及 されており、APT35 に関連付けられています。 複数のサイバーセキュリティベンダーの脅威研究者は、APT35、Charming Kitten、TA453、APT42(およびその前身であるUNC788)の間に 戦略的 および 技術的な 重複があること を以前に明らかにしています 。
| hxxps[:]//continuetogo[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/continue-to-settings.php hxxps[:]//メーラーデーモン[.]net/file=sharing=system/file.id.X=xxxxxx/continue-to-settings.php |
図6:APT35(Googleがアトリビューション)とTAG-56(出典:urlscan)にリンクされた2つの別々のキャンペーンの重複
軽減策
- 堅牢なポリシーを確立し、ソーシャルエンジニアリングとフィッシング対策の意識向上演習を実施して、攻撃の検出と防止に役立てます。
- 強力なパスワードを使用し、可能な限り多要素認証(MFA)を有効にして、資格情報の盗難による潜在的な損害を制限します。
- 組織を偽装するタイポスクワット ドメインなどのドメインの不正使用を、Recorded Future Brand Intelligence (BI) モジュールで監視します。 SecurityTrails 拡張機能は、脅威インテリジェンス (TI) または BI モジュールのサブスクリプションを持つすべてのお客様が利用できます。 LogoType ソースとアラートは BI モジュール専用ですが、TI モジュールは高度なクエリ ビルダーを介してデータにアクセスできます。
- 「コールドコール」は、イランのソーシャルエンジニアリングオペレーターが被害者と関わるために使用する一般的な方法です。 これには、ソーシャルメディアプラットフォームでのダイレクトメッセージングや、暗号化されたチャットが含まれます。 本物でない素材や再利用された素材の兆候に注意し、可能であればソースに直接確認するようにしてください。
- Recorded Futureの不正ドメインとタイポスクワッティングのプレイブックでは、タイポスクワッティングまたは同様のドメインアラートのトリアージについて説明しています。 アラートをまだ設定していない場合は、インテリジェンス目標ライブラリの「認定アラートのアクティブ化」を参照してください。
今後の展望
TAG-56は、APT42やPhosphorusなどのグループに関連する既知のTTPの多くを示しています。 これには、攻撃者が制御するインフラストラクチャに関連するドメイン命名規則、リサイクルされたコードの使用、および資格情報の盗難操作の意図された被害者が含まれます。 リサイクルされたHTMLコードの使用は、おそらくTAG-56の巧妙な手法の繰り返しの側面であり、脅威研究者による検出の可能性が高まっているにもかかわらず、攻撃者にTTPのシフトを正当化しないのに十分な投資収益率を提供している可能性があります。
APT42とリンに関連する脅威活動の被害者学は、シンクタンクが推定されるハンドラーにインテリジェンス価値の戦略的レベルの情報を提供するため、オープンソースで広く報告されています(1、 2、 3)。 TAG-56で特定された標的の重複は、この脅威クラスターが前述のAPTグループと強く重複しているという私たちの評価を裏付けています。
虫垂
ドメイン:
mailer-daemon[.]net mailer-daemon[.]online mailer-daemon[.]me mailer-daemon[.]org mailer-daemon[.]live de-ma[.]online tinyurl[.]ink litby[.]us
IPアドレス:
92.205.13[.]202 162.0.232[.]252 198.54.116[.]118 198.54.115[.]217 199.188.200[.]217
URL:
hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.x=xxxxxx/first.check.html hxxps[:]//continuetogo[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/continue-to-settings.php hxxps[:]//mailer-daemon[.]net/file=sharing=system/file.id.X=xxxxxx/continue-to-settings.php hxxps[:]//mailer-daemon[.]live/sec=file=sharing/check.id=xxxxxxxx=xxxxxx/index.php hxxps[:]//tinyurl[.]ink/8tio97cy/Iran%20nuke.docx
SHA256ハッシュ:
69eb4fca412201039105d862d5f2bf12085d41cb18a93398afef0be8dfb9c229
ファイル:
イランnuke.docx
関連ニュース&研究