This post is also available in: English (英語)
概要
中東地域での緊張の高まりを受け、イランによるサイバー攻撃の可能性に注目が集まっています。以下にあげる脅威関連情報は、これまでにイランの活動との関連が指摘されている攻撃キャンペーンの概要をまとめたものです。本稿は2020年1月3日のイランによる在イラク米軍基地攻撃事件以降に発生した新しい脅威や攻撃などをまとめたものではありません。
2010年以来、イランは世界中のサイバー攻撃オペレーションキャンペーンで非常に活発に活動していると考えられています。民間セクタによる攻撃グループ、攻撃キャンペーン概要の命名や公開は多数存在していますが、それら事例の多くは、直接的にイランの国民国家にその責任を帰属させてはいませんし、民間セクタが公開したアトリビューションの多くは、標的選定や潜在的動機からみた戦術証拠に依拠して行われていますので、この点は念頭に置いておかねばなりません。ただし同時に、追加の証拠が出てこないかぎり、現時点でのアトリビューションが業界全体で事実として受け入れられていくということは理解しておかねばならないでしょう。Unit 42では、セキュリティ業界でイランに帰属するものとして受け入れられているいずれのグループについても、それを明確に示唆するような証拠は得ていません。また、一般に受け入れられているそれらの主張を覆すような証拠も得ていません。
イラン関連の攻撃キャンペーンの概要: セキュリティ業界が「イランに帰属するもの」として公開している現在アクティブな攻撃グループないし攻撃キャンペーンについて以下にまとめました。
-
- OilRig (別名 APT34、Helix Kitten)
- Magic Hound (別名 APT35、Newscaster、Cobalt Gypsy)
- APT33 (別名 Refined Kitten、Elfin)
- DarkHydrus
- Shamoon
- MuddyWater (別名 Static Kitten)
これらの攻撃グループに共通するのは、「スパイ活動」と「破壊」という2つの明確な動機です。観察された攻撃キャンペーンの大部分はスパイ活動に関連しており、これらの攻撃キャンペーンに関連したグループは標的組織への継続的なアクセスないし機密データへのアクセスを求めているようです。2012年、最初のShamoonを皮切りに数年後も攻撃が繰り返し観測され、最近では、StoneDrillとZeroCleareによる攻撃キャンペーンが行われるなど、限られた数の集中的破壊攻撃が観測されています。
全体として、イラン発と考えられるサイバー攻撃は過去10年間、持続的・継続的に行われています。これらのグループの標的は世界中すべての主要産業にまたがっています。たしかに近い将来、報復としての行為が発生する可能性はありますが、そのような活動にしても、おそらくはすでに進行中の攻撃キャンペーンやオペレーションに関連したものである可能性が高いでしょう。
イランのTTP(戦略、技術、手順):その行動について言えば、いくつかの戦術やテクニックが複数の攻撃グループや攻撃キャンペーンで長期にわたって観測されています。以下は、よく見られる戦術・テクニックのリストとそれらに関連するATT&CK IDです。
- フィッシング (T1193、T1192)
- 資格情報収集 (T1078、T1003、T1503、T1081、T1214)
- DNSトンネリング(T1071)
- DNSハイジャック(T1326)
- EldoS RawDiskドライバ (T1485、T1488、 T1487、 S0364)
- 悪意のあるマクロ(T1204)
- 兵器化されたExcel・Word文書 (T1204、T1221、T1173)
- スクリプトベースのバックドア(T1064、T1027)
- Webshellの展開 (T1108、T1133、T1190、T1027)
- ドメインマスカレード(T1328)
- スケジュールされたタスク(T1053)
- Mimikatzの使用 (T1003、T1207、T1098、T1081、S0002)
- エンタープライズVPNソフトウェアのエクスプロイト(T1133、T1210)
一般的緩和策: 以上、攻撃グループ全般に見られる行動に照らして推奨される緩和策は次のとおりです。
- 演習やさまざまな情報リソースを通じて組織でフィッシング攻撃に対抗するための教育機会を増やし意識向上を図る
- 公開システムについては多要素認証を有効化するか多要素認証を実装する。より望ましくは組織全体でそれを行う
- ネットワークセキュリティ機器の資格情報窃取検出機能を有効化する、またはそうした機能を実装する
- 異常なDNSの振る舞い検出/防止機能を有効化する、または実装する
- ビジネス上どうしても必要な場合をのぞきEldoS RawDiskドライバをブラックリストに登録する
- マクロドキュメントのセキュリティポリシーを確認し可能な限り実行を制限する
- エンドポイントでのスクリプトファイル実行セキュリティポリシーを確認し可能な限り実行を制限する
- すべての公開ネットワークアプリケーションを確認し、最新パッチを適用する
- ネットワークセキュリティ機器のドメイン・URLの分類機能を有効化する、または実装する
- 新規または未知のスケジュールされたタスクがないかエンドポイントをスキャンする
- Mimikatzに関連付けられているふるまいの検出・防止ロジックを実装する
- リモートからの攻撃を可能にするような既知のソフトウェアの脆弱性についてはできるかぎり迅速にパッチを適用する
パロアルトネットワークス製品をお使いのお客様に向けた緩和策:パロアルトネットワークス製品をお使いのお客様は、ベストプラクティスを採用し、自社セキュリティ態勢を評価して、本稿に記載した脅威や、ネットワーク・ユーザーに影響を与えうる脅威から組織を保護する必要があります。
攻撃グループの詳細
OilRig (別名 APT34、Helix Kitten)
https://attack.mitre.org/groups/G0049/
OilRigは、Unit 42が2016年5月に発見・命名した脅威グループです。それ以来、私たちは彼らのキャンペーンとオペレーションを幅広く調査してきました。この脅威グループは極めて執拗で、初期攻撃ベクトルはスピアフィッシングに大きく依存しています。ただし資格情報収集キャンペーンやDNSハイジャックなどのより高度な攻撃とも関連付けられています。スピアフィッシング攻撃で同グループはマクロを有効にしたMicrosoft Office(Word、Excel)ドキュメントを使い、Windows実行可能ファイル(PE)、PowerShell、VBScript形式で提供されるカスタムペイロードをインストールしていました。OilRigのカスタムペイロードは、コマンド&コントロール(C2)チャネルとしてDNSトンネリングを頻繁に使用していました。
アクターは1台のエンドポイントにアクセスを確保した後、Mimikatzなどの資格情報ダンプツールを使って正規アカウントにアクセスするための資格情報を収集し、収集した資格情報でネットワーク上の他のシステムに横展開します。webサーバーがある場合、OilRigはネットワークへのアクセスを維持するためのもう1つの侵入口としてwebshellをインストールします。
参考資料
https://unit42.paloaltonetworks.com/behind-the-scenes-with-oilrig/
https://unit42.paloaltonetworks.com/dns-tunneling-in-the-wild-overview-of-oilrigs-dns-tunneling/
https://unit42.paloaltonetworks.com/unit42-oopsie-oilrig-uses-threedollars-deliver-new-trojan/
https://unit42.paloaltonetworks.com/unit42-oilrig-uses-rgdoor-iis-backdoor-targets-middle-east/
https://unit42.paloaltonetworks.com/unit42-oilrig-performs-tests-twoface-webshell/
https://unit42.paloaltonetworks.com/unit42-oilrig-deploys-alma-communicator-dns-tunneling-trojan/
https://unit42.paloaltonetworks.com/unit42-striking-oil-closer-look-adversary-infrastructure/
Magic Hound (別名 APT35、Newscaster、Cobalt Gypsy)
https://attack.mitre.org/groups/G0059/
Magic Houndキャンペーンでは、エネルギー・政府・テクノロジー組織が標的とされ、スピアフィッシングメールが配信メカニズムに使われました。これらのスピアフィッシングメールでは、マクロを有効にしたMicrosoft Officeドキュメント、PEファイルを含む添付ファイルが配信されていました。電子メールに添付されたドキュメントや実行可能ファイルは、PEファイル、.NET Framework PEファイル、Meterpreter、IRCボット、Magic Unicornと呼ばれるオープンソースのMeterpreterモジュール、Pupyと呼ばれるオープンソースのPython RATなどから、さまざまなツールをインストールします。
Magic Houndキャンペーンで使用されたカスタムツールからは、同キャンペーンと他の脅威グループとのつながりも判明しました。Magic Houndキャンペーンが、別の脅威攻撃グループNEWSCASTERに関連付けられたParastooツールに酷似したIRCボットを使っていたためです。また、Magic Hound C2サーバーは、Rocket Kitten脅威グループに関連付けられていたMPKBotというツールのC2サーバーとしても使用されていました。
参考資料
https://unit42.paloaltonetworks.com/unit42-magic-hound-campaign-attacks-saudi-targets/
APT33 (別名 Refined Kitten、Elfin)
https://attack.mitre.org/groups/G0064/
APT33は、航空・エネルギー分野に強い関心を持つと考えられる脅威攻撃グループです。スピアフィッシング攻撃にドメインマスカレードテクニックを使って電子メール内のリンクを正当なものに見せかける手法を取ります。彼らはさまざまなハッキングフォーラムで一般に販売されている有名バックドアと組み合わせてカスタムツールを使うことで知られています。最近のレポートでは、この脅威グループの攻撃インフラも明らかになっています。彼らのインフラでは、侵害システムにくわえ、発信元を隠すプロキシとして商用VPNプロバイダを使います。ATP33の活動からは、同グループや関連グループが、直接の任務である標的以外の組織を侵害することで自身の能力を増強し、そのタスク遂行に役立てている様子が明らかになりました。
参考資料
DarkHydrus
https://attack.mitre.org/groups/G0079/
DarkHydrus脅威攻撃グループは、政府機関と教育機関を標的としてスピアフィッシング攻撃と資格情報収集キャンペーンを行ってきました。DarkHydrusは、ツールセットやTTPのスキルレベルが高く、この地域で活動している他のグループと比べてより洗練された攻撃グループです。同グループはPisheryなどレッドチーム用に一般公開されているツールにくわえ、カスタムツールなども利用してきました。C2チャンネルにGoogleドライブを使用している様子も確認されています。
参考資料
https://unit42.paloaltonetworks.com/unit42-darkhydrus-uses-phishery-harvest-credentials-middle-east/
Shamoon
オリジナルのShamoon攻撃は2012年に開始されました。同攻撃ではエネルギーセクターの2つの特定組織を標的とし、ディスクを消去することでこれら組織のコンピューターシステムを動作不能にすることを目標としていました。攻撃パッケージには、ワイプタスク実行用の商用ドライバのほか、同パッケージの標的組織内での自動拡散を可能にするワームコンポーネントも含まれていました。2012年のインシデントは、公開された最初の大規模標的型破壊攻撃の1つでした。2012年の最初の攻撃以降、2016年と2018年にもそれぞれ攻撃活動が確認されています。どちらの攻撃も、それ以前のものと機能・能力ともにほぼ同じものでした。
参考資料
https://securelist.com/shamoon-the-wiper-copycats-at-work/57854/
https://unit42.paloaltonetworks.com/unit42-shamoon-2-return-disttrack-wiper/
https://unit42.paloaltonetworks.com/unit42-second-wave-shamoon-2-attacks-identified/
https://unit42.paloaltonetworks.com/unit42-shamoon-2-delivering-disttrack/
https://unit42.paloaltonetworks.com/shamoon-3-targets-oil-gas-organization/
MuddyWater (別名 Static Kitten)
MuddyWaterは2017年に登場したグループです。その活動に同じオープンソースツールを使用していたことから、当初は一般にFIN7と呼ばれる営利を目的するサイバー犯罪グループの一部と考えられていました。ただし追加調査の結果、ツールや戦術いずれにも他に類似点がなく、MuddyWaterの活動はFIN7とは別のアクターによって運営されている可能性が高いと結論付けられています。このグループは通常、マクロを有効にしたOfficeドキュメントを添付したスピアフィッシングメールでペイロードを配信してきました。ペイロードは、マクロに直接埋め込まれているか、第1ステージのC2サーバーにホストされています。なおこれらのC2サーバーは、サードパーティのファイルホスティングサイトか、GitHubなどのコード共有リポジトリであることが確認されています。MuddyWaterのツールセットの大部分は、Invoke-Obfuscation、Lazagne、Mimikatzなど、オープンソースのレッドチーム用ツールで構成されていました。
参考資料
https://unit42.paloaltonetworks.com/unit42-muddying-the-water-targeted-attacks-in-the-middle-east/
https://securelist.com/muddywater/88059/
https://www.clearskysec.com/muddywater2/
結論
本稿で取り上げたグループの出自が実際にイランにあるものと仮定した場合、これら攻撃グループの活動はすでに十分文書化されています。また、異なるグループであっても、たとえばスピアフィッシングやクレデンシャルハーベスティングなど、非常に類似した戦術やテクニックを多用する攻撃を行うものです。こうした活動は過去10年にわたって続いていますし、今後も継続する、ないし最近の地政学的事件を受けて増加するものと予想されます。なお、本稿で取り上げた攻撃グループはもちろん、取り上げなかった他のグループについても一貫して言えることは「実装が適切でないITやセキュリティポリシーは悪用される」ということです。組織全体で多要素認証(MFA)を有効にし、ネットワークを適切にセグメント化し、マクロ有効ドキュメントを制限し、未知のドメインへのネットワーク接続を許可しないことは、これらの攻撃グループによる悪意のある活動の無害化に役立つ比較的単純なポリシーの一例です。
IoC
Unit 42は、本稿で参照したグループのIoCを統合し、GitHubリポジトリに保存しました。注意: 本IoCデータセットは潜在的イラン関連サイバー攻撃オペレーションをすべて包括的に記載したものではありません。また、本データは予告なく変更されることがあります。
Get updates from
Palo Alto
Networks!
Sign up to receive the latest news, cyber threat intelligence and research from us