>
Insiktレポート

イランとネクサスの疑いのあるTAG-56は、米国のシンクタンクに対する資格情報の盗難にUAEフォーラムのルアーを使用します

投稿: 2022年11月29日
作成者 : Insikt Group®

insikt-group-logo-updated-3-300x48.png

編集者注:レポートをPDFとしてダウンロードするには 、ここをクリックしてください

このレポートでは、イランと関連性のある脅威活動グループが主導する広範なキャンペーンに関連している可能性が非常に高い脅威活動、TAG-56を取り上げています。 Insikt Groupは、脅威ハンティング技術を通じてこの脅威活動を発見しました。 この調査は、イランのサイバーオペレーション、ITセキュリティの従業員、シンクタンクのメンバー、非政府組織、ジャーナリスト、政府をカバーする個人や組織に関連しています。

Executive Summary

2022年11月初旬、Insikt Groupは、米国に拠点を置くシンクタンク、ワシントン研究所に向けられたイラン関連の脅威活動グループが主導した可能性が高いフィッシングおよびその後の認証情報窃取攻撃を特定しました。 資格情報の盗難コンポーネントは、アラブ首長国連邦 (UAE) 政府が主催する 2022 Sir Bani Yas Forum の Microsoft 登録フォームを装っています。 この脅威活動は、URL短縮サービスを利用して、認証情報が盗まれた悪意のあるページに被害者を誘導する、より広範なキャンペーンを示している可能性が非常に高いです。 この手口は、APT42やPhosphorusのようなイランと結びついたAPT(Advanced Persistent Threat)グループでよく見られます。

Insikt Groupは、認証情報の盗難ページをホストしている可能性が高い5つのドメインを特定しました。 この調査に関連する認証情報の盗難例は、2022年を通じてurlscanに提出されました。 最新の提出物は2022年11月3日にUAEから提出されました。 この記事の執筆時点では、この脅威活動は進行中のキャンペーンに関連している可能性が非常に高いです。 Insikt Groupは、この活動を一時的なグループ指定子TAG-56で追跡しています。

脅威分析

初期ディスカバリー

2022 年 11 月 3 日、Insikt Group は、図 1 に示すように、UAE のユーザーから 2022 Sir Bani Yas Forum の偽の Microsoft 登録フォームを返した不審な urlscan の送信を特定しました。 攻撃の意図された標的は、近東におけるアメリカ外交政策に焦点を当てたアメリカに本拠を置くシンクタンク、ワシントン研究所の上級研究員だ。 提出データによると、被害者はスピアフィッシングメッセージを受け取り、クリックするとapexドメイン名のURLにリダイレクトされる可能性が高いことが明らかになりました。網 — なりすまし登録ページがホストされている場所。

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_1.png

図1:Sir Bani Yas Forumにリンクされていると主張する登録フォーム(出典:urlscan)

ドメイン "mailer-daemon[.]ネット」 は、2022年10月11日にNamecheapを介して登録され、WHOISプライバシー保護を使用しています。 ドメインは162.0.232[.]252 2022年10月11日以降。 162.0.232[.]252は「ウェブホスティング[.]com"、 これは、Namecheapの共有ホスティングサービスに関連付けられています。

Insikt Groupは、以下の表1に示す4つのドメインをさらに特定しました。これらのドメインは、mailer-daemon[.]網。 1つのドメインを除くすべてのドメイン、「mailer-daemon[.]org"、 Namecheapの共有ホスティングサービスを使用します。 ドメイン "mailer-daemon[.]org」 GoDaddyを使用して登録されました。 オープンソース のレポートでは 、同様のドメイン、特に「mailerdaemon[.]私」 および "mailer-daemon-message[.]co」は、2020 年から 2021 年にかけて、Phosphorus APT グループのメンバーが攻撃を主導するために使用されました。

ドメイン IPアドレス 最初の発見日 レジストラ WHOIS登録
メーラーデーモン[.]オンライン 198.54.115[.]217 2022年11月23日 Namecheapの名前 プライバシー保護
メーラーデーモン[.]組織 92.205.13[.]202 2022年11月13日 ゴーダディ プライバシー保護
メーラーデーモン[.]網 162.0.232[.]252 2022年10月11日 Namecheapの名前 プライバシー保護
メーラーデーモン[.]私 199.188.200[.]217 2022年5月31日 Namecheapの名前 プライバシー保護
メーラーデーモン[.]住む 199.188.200[.]217 2021年11月9日 Namecheapの名前 プライバシー保護

表 1: TAG-56 脅威アクティビティに関連付けられたドメイン名 (出典: Recorded Future)

偽のURL短縮サービス

偽のURL短縮サービス「tinyurl[.]インク」、 これは正規のサービスTinyURL(tinyurl[.]com)、 私たちの研究の一部として特定されました。 偽のURL短縮サービスは、「イランnuke.docx」というおとり文書 を配信する ために使用されました 「もう一つの欠陥のあるイラン取引とアメリカ政策の次の段階」と題され、タイトルが示すように、イランの核開発計画に関するものだ。 図2に示すこの文書は無害であり、攻撃者が意図したターゲットの予防行動を低下させるために使用された可能性があります。 2022年6月、米国とイスラエルの政府関係者を標的としたイランのAPTキャンペーンに関するレポートで、チェック・ポイント・リサーチは、会話を開始するために無害な文書がターゲットに送られた と指摘し ています。

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_2.png

図2:意図したターゲットに送信されたおとり文書(出典: Tria.ge)

「イランnuke.docx」の配信の一環として、 TAG-56の工作員は、偽のURL短縮サービスを正規の短縮サービスtinyurl[.]コム 図 3 に示すように。 攻撃チェーンは、工作員が正規のURL短縮サービス(tinyurl[.]com) 疑わしいターゲットに対して。ターゲットがリンクをクリックすると、なりすましの同等物(tinyurl[.]インク)。 イスラエルからのurlscanへの別の 投稿 により、TAG-56はtinyurl[.]コム 「mailer-daemon[.]ライブ" ドメイン。 分析時点では、「mailer-daemon[.]ライブ" Namecheapが所有する別のIPアドレスに解決されました:198.54.116[.]118.

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_3.png

図3:イランの核文書へのリダイレクトの観測結果(出典:Recorded Future)

TAG-56がこの研究に関連するリンクをどのように拡散したかは不明ですが、スピアフィッシング、または暗号化されたチャットプラットフォームが配信に使用された可能性は高いです。 APT42に関連するものなど、一部のイラン関連のオペレーターは、被害者のWhatsAppまたはTelegramアカウントに直接リンクを送信し、チャットに参加してソーシャルエンジニアリングを通じて被害者を操作することが知られています。

ファイル名 SHA256ハッシュ URL (英語) 最終更新日
イランnuke.docx 69EB4FCA412201039105D86
2D5F2BF12085D41CB18A933
98AFEF0BE8DFB9C229
hxxps[:]//tinyurl[.]インク/8TiO97CY/Iran%20nuke.docx 2022年2月28日

表2:イランのnuke.docxファイルに関連する情報(出典:Recorded Futureおよびurlscan)

表3に示すように、ドメイン「tinyurl[.]インク」 IPアドレス199.188.200[.]217 2021年12月中旬にNamecheapを介して登録されて以来。WHOISのプライバシー保護は、TAG-56の運用者によって再び採用されました。

ドメイン IPアドレス 最初の発見日 WHOIS登録
tinyurl[.]墨 199.188.200[.]217 2021年12月12日 プライバシー保護

表 3: URL Shortener は 2021 年 12 月中旬から運用を開始しています (Recorded Future)

サーバー構成

Namecheapのサーバー構成 "tinyurl[.]インク」 Check Point Researchが報告した脅威活動との別の顕著な重複が明らかになりました:攻撃者は、Namecheapが提供する共有Webホストを使用してインフラストラクチャを確立しました。これは、Check Point Researchが報告したキャンペーンでも観察されたTAG-56の戦術、技術、手順(TTP)の側面です。このキャンペーンでは、攻撃者が制御するインフラストラクチャには、偽のURL短縮サービス「litby[.]私たち」。 これは、TAG-56の運用者が、独自のインフラストラクチャを確立するのではなく、専用のインフラストラクチャを取得することを好むことを示唆しています。

Check Point Researchersは、URL短縮サービスのHTMLも 引用 しています(litby[.]私たち) 2020年にPhosphorus APT に起因する 脅威活動のクラスターへの直接的なリンクが明らかになりました。 ドメイン "de-ma[.]オンライン」 図4で下線が引かれているのは、2020年11月以降、アクティブなDNS「A」レコードを持っていません。

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_4.png

図4:de-ma[.]オンライン ドメイン(出典: チェック・ポイント・リサーチ)

Insikt Groupは、Sir Bani Yasのなりすまし登録ページのHTMLでコードが再利用されている可能性が高いことを確認しました。 JavaScript関数は、特に変数 "passwd.trim()=="SaudiG20"をリストします。 これは、Sir Bani Yasフォーラムとは関係がなく、2020年にサウジアラビアが主催したG20会議に関連している可能性が高いです。

suspected_iran_nexus_tag_56_uses_uae_forum_lure_for_credential_theft_against_us_think_tank_figure_5.png

図5:HTMLの調査により、JavaScript関数に「SaudiG20」変数が見つかった(出典:urlscan)

Sir Bani Yasフォーラムのなりすましログインページには、「 continue-to-settings.php 」という文字列を含む リダイレクト も含まれていました。同じ文字列は、2021年8月6日にurlscanに対して行われた別の投稿でも確認されています。 この 投稿 により、Yahooメールの悪意のあるログインページ(認証情報の盗難の別のケース)が明らかになりましたが、攻撃に使用された頂点ドメインは「continuetogo[.]私」。 このドメインは、2021 年 10 月に Google の Threat Analysis Group が発表したレポートで 言及 されており、APT35 に関連付けられています。 複数のサイバーセキュリティベンダーの脅威研究者は、APT35、Charming Kitten、TA453、APT42(およびその前身であるUNC788)の間に 戦略的 および 技術的な 重複があること を以前に明らかにしています 。

hxxps[:]//continuetogo[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/continue-to-settings.php
hxxps[:]//メーラーデーモン[.]net/file=sharing=system/file.id.X=xxxxxx/continue-to-settings.php

図6:APT35(Googleがアトリビューション)とTAG-56(出典:urlscan)にリンクされた2つの別々のキャンペーンの重複

軽減策

  • 堅牢なポリシーを確立し、ソーシャルエンジニアリングとフィッシング対策の意識向上演習を実施して、攻撃の検出と防止に役立てます。
  • 強力なパスワードを使用し、可能な限り多要素認証(MFA)を有効にして、資格情報の盗難による潜在的な損害を制限します。
  • 組織を偽装するタイポスクワット ドメインなどのドメインの不正使用を、Recorded Future Brand Intelligence (BI) モジュールで監視します。 SecurityTrails 拡張機能は、脅威インテリジェンス (TI) または BI モジュールのサブスクリプションを持つすべてのお客様が利用できます。 LogoType ソースとアラートは BI モジュール専用ですが、TI モジュールは高度なクエリ ビルダーを介してデータにアクセスできます。
  • 「コールドコール」は、イランのソーシャルエンジニアリングオペレーターが被害者と関わるために使用する一般的な方法です。 これには、ソーシャルメディアプラットフォームでのダイレクトメッセージングや、暗号化されたチャットが含まれます。 本物でない素材や再利用された素材の兆候に注意し、可能であればソースに直接確認するようにしてください。
  • Recorded Futureの不正ドメインとタイポスクワッティングのプレイブックでは、タイポスクワッティングまたは同様のドメインアラートのトリアージについて説明しています。 アラートをまだ設定していない場合は、インテリジェンス目標ライブラリの「認定アラートのアクティブ化」を参照してください。

今後の展望

TAG-56は、APT42やPhosphorusなどのグループに関連する既知のTTPの多くを示しています。 これには、攻撃者が制御するインフラストラクチャに関連するドメイン命名規則、リサイクルされたコードの使用、および資格情報の盗難操作の意図された被害者が含まれます。 リサイクルされたHTMLコードの使用は、おそらくTAG-56の巧妙な手法の繰り返しの側面であり、脅威研究者による検出の可能性が高まっているにもかかわらず、攻撃者にTTPのシフトを正当化しないのに十分な投資収益率を提供している可能性があります。

APT42とリンに関連する脅威活動の被害者学は、シンクタンクが推定されるハンドラーにインテリジェンス価値の戦略的レベルの情報を提供するため、オープンソースで広く報告されています(123)。 TAG-56で特定された標的の重複は、この脅威クラスターが前述のAPTグループと強く重複しているという私たちの評価を裏付けています。

虫垂

ドメイン:

メーラーデーモン[.]網 メーラーデーモン[.]オンライン メーラーデーモン[.]私 メーラーデーモン[.]組織 メーラーデーモン[.]住む de-ma[.]オンライン tinyurl[.]墨 litby[.]私達

IPアドレス:

92.205.13[.]202 162.0.232[.]252 198.54.116[.]118 198.54.115[.]217 199.188.200[.]217

URL:

hxxps[:]//メーラーデーモン[.]net/file=sharing=system/file.id.x=xxxxxx/first.check.html hxxps[:]//continuetogo[.]me/Sec=Tab=settings/id=xxxxx=xxxxx/continue-to-settings.php hxxps[:]//メーラーデーモン[.]net/file=sharing=system/file.id.X=xxxxxx/continue-to-settings.php hxxps[:]//メーラーデーモン[.]live/sec=file=sharing/check.id=xxxxxxxx=xxxxxx/index.php hxxps[:]//tinyurl[.]インク/8TiO97CY/Iran%20nuke.docx

SHA256ハッシュ:

69EB4FCA412201039105D862D5F2BF12085D41CB18A93398AFEF0BE8DFB9C229

ファイル:

イランnuke.docx

関連