出典:Sylvain Oliveira(Alamy Stock Photo経由)
スパイ活動で知られるイラン系の脅威アクターが、航空宇宙分野の組織を標的にしています。
Google CloudのMandiantの研究者は、UNC1549として追跡されている脅威アクターに関する11月17日のブログ記事でその旨を述べました。Googleは以前にもこのアクターについて報告しており、イラン革命防衛隊(IRGC)と関連するTortoiseshellグループと重複していると考えられています。昨年初めに、Mandiantはこのグループがイスラエルやアラブ首長国連邦を含む複数の国の航空宇宙・防衛企業のシステムを侵害していると報告しました。
Mandiantの最新のブログ記事では、2024年半ば以降にMandiantが対応したUNC1549に起因するインシデントで観測された戦術、技術、手順(TTPs)について解説しています。
GoogleのLarsen氏によると、イスラエルが依然として主要な標的である一方、UNC1549の標的は米国、UAE、カタール、スペイン、サウジアラビアの組織にも拡大しているとのことです。「彼らの作戦範囲が直接的な軍事的ライバルを超えて広がっているのが見られます。技術、ホスピタリティ、運輸などの分野も標的にし、これらの侵害を利用して信頼された関係を活用し、最終的に航空宇宙・防衛分野の本来の標的に到達しています」と説明しています。
CrowdStrikeの対敵対者部門シニアバイスプレジデントAdam Meyers氏はDark Readingに対し、この脅威アクター(CrowdStrikeでは「Imperial Kitten」として追跡)について、同社はインフラの拡大とIRGCの利益に沿ったスパイ活動の強化をこの夏以降確認していると述べています。
「彼らのキャンペーンは、被害者を侵害し悪意のあるペイロードを配布するために、求人を装ったフィッシングをよく利用します。過去の作戦では、西側諸国だけでなく、イスラエル、サウジアラビア、UAEも標的となり、防衛、ホスピタリティ、金融、運輸、技術など幅広い業界が対象となっています。」
一方、ESETのシニア脅威インテリジェンスアナリストAdam Burgher氏は、ESETがこのアクター(同社では「GalaxyGato」と呼称)が過去6か月間、イスラエルとギリシャを標的にしていることを観測したと述べています。
米国国土安全保障省は6月に警告し、イランの脅威アクターやハクティビストが米国内の重要インフラ事業者を標的にする可能性があるとしました。また、近月ではイラン系攻撃者が欧州から通信企業まで、幅広い標的に対して多様な脅威キャンペーンを展開しています。
UNC1549による航空宇宙分野への継続的な攻撃
MandiantのMohamed El-Banna、Daniel Lee、Mike Stokkel、Josh Goddardによる投稿では、昨年半ば以降、UNC1549が高度な手法を用いて航空宇宙、航空、そして防衛分野の組織を標的にしていると述べられています。
攻撃者は時に、標的の認証情報を盗んだりマルウェアを配布したりするためのスピアフィッシング攻撃を巧妙に仕掛けます。別のケースでは、UNC1549はまずサードパーティのサプライヤーやビジネスパートナーを侵害し、その信頼関係を利用して本来の標的を攻撃します。
「後者の手法は、防衛請負業者のような高いセキュリティ成熟度を持つ組織を標的にする際に特に戦略的です。これらの主要標的は堅牢な防御に多大な投資をしていますが、サードパーティパートナーは必ずしも同じ水準のセキュリティを持っていない場合があります」とブログ記事は述べています。「このギャップがUNC1549にとって抵抗の少ない経路となり、まず接続された組織を侵害することで主要標的のセキュリティコントロールを回避できるのです。」
このアクターはまた、将来のスピアフィッシングキャンペーンで偽装ドメインを作成するためのソースコード窃取や、サービスチケッティングシステムを悪用して従業員から機密認証情報を騙し取るなど、高度なポストエクスプロイト戦術も用います。
さらにUNC1549は、バックドアを開けたり持続性を維持したりするために一連のカスタムツールを使用します。研究で注目されたツールには、Twostrokeとして追跡されるC2インフラと通信するC++製バックドア、カスタムトンネラーLightrail、シェルコマンド実行・システム情報列挙・ファイル管理を行うDeeproot、そして正規のDCSync Active Directoryレプリケーション機能を模倣し「ドメインコントローラーから直接NTLMパスワードハッシュを抽出する」DCSyncer.Slickなどがあります。
防御を回避するため、攻撃者はユーティリティやその他のフォレンジックアーティファクトを削除します。また、「被害者ホストから自らのインフラに向けてSSHリバーストンネルを繰り返し使用しており、この手法がシステムにインストールされた[エンドポイント検知・対応]エージェントから活動を隠すのに役立っています。」
UNC1549が航空宇宙分野を標的にする理由
イランは地政学的利益のために多くの分野や地域を標的にしていますが、MandiantによるUNC1549の追跡では、限定された業種へのキャンペーンが特徴的です。
投稿の著者らは、この脅威アクターの活動は「スパイ活動による動機が非常に強い」とし、被害者ネットワークからの広範なデータ収集を挙げています。GoogleはUNC1549がメール、ネットワークやITドキュメント、知的財産などの機密情報を盗んでいるのを確認しました。
Google脅威インテリジェンスグループのプリンシパル脅威アナリスト、Austin Larsen氏はDark Readingに対し、この脅威アクターは破壊的な事前配置のようなものではなく、主に戦略的な情報収集を動機としているようだと述べています。彼らの行動は独自技術や軍事機密の獲得を目的としていることを示唆していますが、もう一つの大きな目的は、侵害した航空宇宙・防衛企業を足掛かりに他の価値ある組織を標的にすることだとLarsen氏は述べています。
「この特定業種を標的にする大きな理由は、これらの組織をピボットポイントとして利用できることです。サードパーティサプライヤーとの信頼関係を悪用して高価値標的に到達し、しばしば小規模ベンダーを侵害して大手防衛請負業者の堅牢な防御を回避しています」とLarson氏は述べています。
軍事情報の観点では、Rapid7のシニアセキュリティリサーチャーJeremy Makowski氏は、航空宇宙組織はイランにとって特に価値が高いとし、得られた情報が「テヘランが先進技術を合法的に入手するのが困難な分野で進歩を大きく加速させることができる」と述べています。
「軍事的には、時代遅れの空軍や現代的な航空機へのアクセスの制限を補うのに役立ちます。推進装置、レーダーシステム、衛星技術、精密誘導部品に関する情報は、イランの拡大するミサイル・ドローンプログラムに直接恩恵をもたらし、わずかな改良でも戦略的バランスを変える可能性があります。しかし、その価値は純粋に軍事的なものだけではありません」と彼は述べています。「航空宇宙分野のスパイ活動は、イランが制限された部品を特定し、世界中のサプライヤーを追跡し、秘密調達ネットワークを通じて制裁を回避するのを可能にします。また、国内向けに技術進歩をアピールし、国外に抑止力を示し、地域の代理勢力により高性能なシステムを供給することで、政治的な目的も支えています。」
