【イランのハッカーが北の手口を模倣?スパイキャンペーン展開】サイバー脅威と政策に関する重要ニュース
こんにちは。S2W NOTE編集です。
今回の記事では、グローバルニュースを元にサイバー脅威や関連政策に関して重要なニュースを抜粋してお届けします。
以下、2024年11月15日『data net』の記事を翻訳・編集した内容になります。
イランのハッカーが北の手口を模倣?スパイキャンペーン展開
ハッカー「TA455」、東ヨーロッパ・イスラエルなど航空宇宙産業の重要情報を窃取するためのキャンペーンを実行
キムスキー・ラザルス由来の攻撃ツール・方式を使用し追跡困難に
LinkedInの採用に関する内容を利用して被害者を誘引
LinkedInを通じてスカウト提案をしながら重要情報を盗む攻撃は、北朝鮮の脅威グループが主に使用する方法です。
この手法をイランの脅威グループも使用し、航空宇宙産業を狙ったスパイキャンペーンを行っていますが、北朝鮮のハッカーに偽、もしくは北朝鮮の攻撃方法・ツールを共有したものと見られます。
イスラエルのセキュリティ企業ClearSkyの「Iran Dream Job Campaign」によると、イランのハッキンググループ「charming kitten」のサブグループ「TA455」が昨年9月から採用を餌にしたキャンペーンを行っています。
このグループは、航空宇宙産業や防衛産業を標的に偽の採用ウェブサイトとLinkedInプロフィールを使用して、本物のように見せかけた悪意のあるドキュメントを流布し、機密情報の窃取と運営妨害のためのキャンペーンに活用しています。
北のキャンペーンになりすまして活動を隠蔽
「TA455」が使用した悪意のあるドキュメントには、マルウェア「SnailResin」とバックドア「SlugResin」が含まれていました。
このツールは一部のアンチウイルスソフトで北のキムスキーやラザルスと分析されることもありますが、ClearSkyを含む多くのセキュリティ企業が「charming kitten」のサブグループである「TA455」の犯行と分析しています。
ClearSkyによると「TA455」と北の脅威グループが同様の攻撃方法を使用し北のキャンペーンに偽装して活動を隠蔽しているとのことです。「charming kitten」は主に政府・軍事分野を狙うイランのAPTグループで、機密データを盗み、リモートアクセスを容易にするために多段階感染チェーンを使用しています。
最近では社会工学的なフィッシングを利用し、検出を避けるために高レベルの難読化とカスタムマルウェアを活用しています。同グループは、今年に入って東ヨーロッパとイスラエルを集中的に攻撃しています。
正当なサービスを利用して検知回避
今年の2月にはMandiant はイランのハッカーと疑われる脅威アクターがイスラエル、アラブ首長国連邦などの航空宇宙産業と防衛産業を標的に攻撃しているという報告書を発表しています。
ClearSkyは今回のキャンペーンで使用された採用担当者のLinkedInのプロフィールがMandiantが分析したプロフィールの最新版ではないかと疑っています。
例えば今回発見されたキャンペーンで、攻撃者は「career 2 find」という偽の会社を利用しましたが、この攻撃者はMandiantが2月に分析した偽の採用ウェブサイト「first employer」所属であることを詐称していたとのことです。
「TA455」は、攻撃インフラストラクチャーを隠すために、CloudFlare、GitHub、Microsoft Azureクラウドなどのオンラインサービスを利用しています。
離職者、求人者の職務に関連する複数のドキュメントとマルウェアを含むドキュメントが入った圧縮ファイルを共有します。
インフラストラクチャーとマルウェアを絶えず修正することで、セキュリティ研究者やツールが検出できないようにし、5つのウイルス対策エンジンでのみ検出可能な悪意のあるファイルを使用し、高度な難読化技術とカスタムマルウェアを使用しています。
