TokyoBlackHatNews

gbhackers.com 5分で読了

APT35のリークで、ドメイン、支払い、サーバー情報を含むスプレッドシートが明らかに

イランのサイバー部隊「Charming Kitten」(公式にはAPT35)は、使い回しのフィッシングテンプレートや認証情報を収集するページで知られる政治的動機の集団として、騒がしいが比較的洗練されていない脅威アクターだと長らく片付けられてきた。

しかし最新のインテリジェンス流出であるエピソード4は、その評価を根本から書き換える。浮かび上がるのはハッカー集団ではなく、経費報告書、請求書、調達手続きまで備え、正規の企業にも匹敵する政府部局そのものだ。

流出ファイルは、イランのサイバー作戦を支える官僚的な仕組みを露わにする。ホスティング事業者と請求書番号を記録したスプレッドシート、Cryptomusを介して処理された暗号資産の受領記録、そして偽の欧州人身分を寄せ集めた名義でのサーバーレンタルが含まれている。

これらはエクスプロイトではなく、管理記録である。この流出は、テヘランがどのようにインフラを要求し、資金を拠出し、維持しているのかを照らし出し、国家の意図を実行可能なコードへと変換する制度的な代謝を明らかにする。

3ファイル構成のアーキテクチャ

流出データセットは、運用の背骨として機能する相互接続された3つのスプレッドシートで構成されている。

1つ目の0-SERVICE-Service.csvには約170行があり、ドメインをレジストラに紐づけている。50を超える異なるProtonMail のIDと、80組を超える平文の認証情報ペアが含まれる。

記載には繰り返し登場するプロバイダーがある。EDIS(VPS)は約20回、NameSilo(ドメイン)は14回、Impreza(VPS)は6回登場する。明細の価格はドルとユーロにまたがり、「3 Months / #2016」や「SSL / no SSL」といったライフサイクル注記もある。

2つ目のシート0-SERVICE-payment BTC.csvは、2023年10月から2024年12月にかけての55件の暗号資産取引を記録しており、総額は約1,225ドル、1取引あたりの平均支出は56ドル程度となっている。

ウォレット欄には少なくとも32の固有のビットコインアドレスが並び、その多くがサービスシートの項目と対応する内部サービス番号を参照している。これにより、要求・支払い・有効化を結び付ける検証可能な監査証跡が形成される。

3つ目のファイル1-NET-Sheet1.csvは、ネットワークアドレスで運用ループを閉じる。ペルシャ語の注記が付いた接続メモや位置マーカーとともに、IPレンジおよびCIDR割り当てが記載されている。

これらの項目は、プロバイダーのダッシュボードで観測された稼働中のインフラと対応しており、請求書にあるのと同じ仮名の顧客IDやサービスSKUと一致する。

流出資料は、際立った運用パターンを明らかにする。APT35は即興ではなく、標準化されたワークフローで動いている。ドメイン登録、VPS調達、認証情報の記録、支払い照合は、一貫した手順の振り付けに従っている。

複数の別名と期間にわたり、同じホスティング階層、ベンダー、価格帯、暗号資産による支払い経路が精密に繰り返し現れる。

この一貫性は、洗練性よりも回復力と事務的な継続性のために設計された工業化プロセスを示している。

おそらく最も致命的なのは、侵害後にAPT35が基本的な運用セキュリティを実行できなかった点だ。侵害されたインフラは数週間にわたりアクセス可能なままで、稼働中のサーバー、ホスティングの認証情報、決済ゲートウェイへのアクセスが無防備に放置されていた。

0-SERVICE-Service.csv.
0-SERVICE-Service.csv.

官僚的な精密さとOPSECの失敗の間にあるこのギャップは、Charming Kittenの作戦の中核にある逆説――緻密な事務運用と、作戦上の不注意の併存――を浮き彫りにする。

Moses Staffとのつながり

サービス台帳の奥に、示唆に富む項目が埋もれている。moses-staff[.]ioだ。この発見は、APT35が、イスラエルの組織を標的とする思想的ハクティビスト集団として描かれてきたMoses Staffを支えるインフラを運用していたことを示した

UST Global IsraelのようなクラウドプロバイダーやITサービス企業を侵害することで、Moses Staffは横方向に到達範囲を広げ、信頼された仲介者を意図せぬ侵入ベクターへと変えている。

Image
Moses Staffの被害対象マップ。

重複するProtonMailアカウント、レジストラ、決済インフラは、Moses Staffの一見独立したランサムウェア・キャンペーンが、実際にはAPT35の調達ワークフローの産物であったことを示している。異なる「プロジェクト」は、同一の官僚的体制の中で内部チケット番号が割り当てられていた。

エピソード4のファイルは、テヘランのサイバー作戦がサブスクリプションサービスのように機能していることを暴き出す。小額の暗号資産マイクロペイメントが、数十のウォレットに分散され、キプロス拠点のリセラーを経由して流れることで、コンプライアンス検知を回避しつつ永続的なインフラを維持している。

この手法は、制裁回避に関するイランのより広範な経験――支出を小口で分散した取引に分解し、資金追跡を困難にして運用継続性を保つ――を反映している。

最終的にこれらの痕跡が示すのは、国家支援のサイバー能力が技術革新ではなく、制度的な持続力の上に成り立っているということだ。

あらゆる侵害されたシステムの背後には発注書があり、あらゆるキャンペーンの背後には買掛金担当者がいる。イランのサイバー作戦を稼働させ続けているのは、マルウェアではなくスプレッドシートなのだ。

翻訳元: https://gbhackers.com/apt35-leak/

ソース: gbhackers.com
#APT35 #Charming Kitten #Moses Staff #OPSEC(運用セキュリティ) #イラン #スプレッドシート流出 #ドメイン登録・VPS調達 #国家支援型サイバー攻撃 #情報漏洩 #暗号資産決済(ビットコイン)

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚