2025年6月22日の米国によるイランの核関連インフラへの攻撃を受け、Sysdig Threat Research Team(TRT)は、2022年2月のロシア・ウクライナ戦争の開戦当初に観測したものと同様に、イラン国家支援の高度持続的脅威(APT)および親イランのハクティビストによるサイバー活動が急増すると予測しています。
本速報では、Sysdig TRTが、これらのグループによる潜在的な攻撃への防御準備を進めるセキュリティチーム向けに、将来を見据えたガイダンス、既知および想定される行動に基づく脅威インテリジェンス、ならびに検知内容を提供します。また、クラウドおよびLinux環境への攻撃に過去関連付けられてきた主要なイラン国家支援グループと、彼らが一般的に用いるツールや戦術についても取り上げます。
一般的な推奨事項
- すべてのクラウドアカウントでMFAを強制し、異常なログインに対する検知を有効化する
- SysdigのCIEMおよびComplianceは、MFAで保護されていないクラウドアカウントを可視化し、是正措置を講じられるようにします。
- ランタイム検知とファイル分析を用いて、公開されているシステム上のWebシェルの兆候を探す
- 以下のルールはWebシェル活動の発見に有効です:
- Webサーバーによる不審なコマンド実行(Sysdig Runtime Notable Events)
- 信頼されていないシェルの実行(Sysdig Runtime Notable Events)
- リバースシェルを検知(Sysdig Runtime Threat Detection)
- 以下のルールはWebシェル活動の発見に有効です:
- 公開されているアプライアンス(例:Ivanti、Netscaler、Pulse Secure など)がパッチ適用済みであり、影響範囲(blast radius)を制限するアクセス制御があることを確認する
- Sysdig Risks and Inventoryは、インターネットに公開され脆弱性を抱えるシステムを表示します
- ワークロード上での未承認のオープンソースセキュリティツール利用を監視する
- 以下が有効になっていることを確認してください:
- 攻撃用セキュリティツールを検知(Sysdig Runtime Threat Detection)
- 攻撃用セキュリティツールがクラウドインスタンスのメタデータサービスに接続(Sysdig Runtime Notable Events)
- 攻撃用セキュリティツールドメインへのDNSルックアップを検知(Sysdig Runtime Threat Intelligence)
- コンテナ内で不審なネットワークツールを起動(Sysdig Runtime Notable Events)
- ホスト上で不審なネットワークツールを起動(Sysdig Runtime Notable Events)
- 以下が有効になっていることを確認してください:
- IPまたはDNS監視により、既知のトンネリング/プロキシWebサイトへの接続を検知する
- Sysdig Runtime Threat Intelligenceポリシーを有効化してください
- これらのグループの一般的なペイロードにはランサムウェアやディスクワイパーが含まれるため、バックアップが正しく動作していることを確認する
- 悪性ハッシュおよびYaraルールを使用するマルウェア検知ポリシーを有効化してください
主要なイランの脅威アクター
イランのAPTの網羅的な一覧ではありませんが、以下ではクラウドおよびLinuxベースのインフラを頻繁に標的とするグループの具体例を示します。
APT35 / Charming Kitten / Phosphorus
APT35は、2014年から活動しているイラン政府支援のグループです。米国、欧州、中東の軍関係者、外交関係者、政府関係者に加え、研究者、メディア、エネルギー、国防関連の請負業者を標的としてきたことが知られています。
- クラウドアカウントの侵害:APT35は、フィッシング、パスワードスプレー、トークン窃取を用いて、Microsoft 365、Gmail、クラウドVPNポータルから認証情報を盗むことを得意としています。Microsoftは、同グループが盗まれた認証情報とパスワードスプレー戦術を用いて250以上のOffice 365テナントを標的にしていたことを観測しています。
- Hyperscrapeによるクラウドメールの持ち出し:APT35は、被害者のGmailおよびMicrosoftアカウントにログインし、メールを密かに持ち出すよう設計されたHyperscrapeというツールを開発しました。
- PowerLessおよびBellaCiaoマルウェア:APT35は、PowerLess(powershell.exeを呼び出さずに実行されるPowerShellバックドア)と、BellaCiao(被害者の地理位置情報に基づきカスタマイズされたインプラントを配布するドロッパー)を開発しました。
- クラウドインフラを経由したトンネリング:APT35はFast Reverse Proxy(FRP)を活用し、攻撃者が管理するインフラ(AzureやVPSプロバイダーなどのクラウドサービスを含む)を介してRDPおよびC2トラフィックをトンネルし、ファイアウォールを回避して永続性を維持します。
- Linuxの悪用:APT35は、Apacheサーバー、Exchange、VPNアプライアンスにおけるLog4jなどの脆弱性を悪用してきました。これらの一部はLinux上で稼働しています(例:Fortinet、Zimbraなど)。インプラントは通常Windowsベースですが、初期侵入手法はリバースシェルや認証情報の収集を通じてLinuxクラウドサービスにも影響を及ぼし得ます。
APT33 / Peach Sandstorm / Refined Kitten
APT33は、2013年から活動しているイラン政府支援のグループです。米国、サウジアラビア、韓国を標的としてきたことが知られています。特に航空分野および石油分野です。
- クラウドファーストの侵入:APT33は、C2インフラとしてAzure Active Directory(AAD)およびAzureサブスクリプションを使用します。同グループのカスタムマルウェアTicklerは、攻撃者が管理するAzureリソースと通信していることが観測されています。
- パスワードスプレーによる認証情報取得:APT33は、TORの出口ノードや、RoadtoolsやAzureHoundなどのオープンソースツールを用いて、Microsoft 365およびAADテナントに対する大規模なパスワードスプレーキャンペーンを実施し、侵害後の偵察を行います。
- Azureリソース:APT33は、正規のクラウド活動に紛れ込むため、悪意のあるAzureインフラ(例:C2サーバーやビーコン送信エンドポイント)を作成・運用していることが観測されています。
- 間接的なLinux標的化:APT33のマルウェアは通常Windows上で動作しますが、その作戦はクラウド環境でホストされるLinuxサービスにしばしば影響を及ぼします。これには、LinuxベースのAzure VM、VPNアプライアンス、クラウドWebサービスが含まれます。
- ソーシャルエンジニアリング:APT33はLinkedInのプロフィールを用いて標的をだまし、認証情報を共有させます。これらのフィッシングキャンペーンにより、クラウドIAMポータル、GitHub、またはSSH経由でアクセスされるLinuxサーバーへのアクセスが得られる可能性があります。
Pioneer Kitten / Lemon Sandstorm / RUBIDIUM
Pioneer Kittenは、イラン政府と関係するイラン拠点のサイバーグループで、2017年以降サイバー作戦を実施しています。ランサムウェアギャングと協力し、米国、イスラエル、U.A.E.、アゼルバイジャンの教育、金融、医療、防衛関連請負業者、政府機関を標的にしています。
- ランサムウェアのための初期侵入ブローカー:Pioneer Kittenは、VPNおよびネットワーク機器の脆弱性(例:Citrix Netscaler、F5 BIG-IP、Pulse Secureなど)を悪用して初期アクセスを獲得し、Webシェルで永続性を維持したうえで、そのアクセスをBlackCat/ALPHV、NoEscape、Ransomhouseといったランサムウェアのアフィリエイトに販売します。
- Webシェルによる永続化:Pioneer Kittenは、(/var/vpn/themes/imgs/ に隠すなど)深く埋め込まれたWebシェルを使用し、再起動や更新を乗り越えることで知られています。悪性バイナリを避け、ファイルレスまたはインラインのbashコマンド実行を用いて目立たないようにすることが多いです。
- 既製ツールのツールセット:同グループは、ligolo、socat、proxychainsなどのLiving-off-the-Landツールと、Havoc、MeshCentral、カスタムC2バイナリなどの侵害後フレームワークを組み合わせ、Linuxおよびクラウドシステム全体で使用します。
- ランサムウェアおよび諜報のワークフロー:侵入後、Pioneer KittenはSSHトンネル、プロキシツール(例:ngrok、ligolo)、または侵害されたLinuxシステムを頻繁に活用してWindowsおよびクラウドシステムへ到達します。これらの足場により、アクセスの販売またはランサムウェアの実行が可能になります。
翻訳元: https://www.sysdig.com/blog/sysdig-threat-bulletin-iranian-cyber-threats
