イスラエル国家サイバー局は、セキュリティおよび防衛関連分野に従事する個人を特に狙った、進行中のスピアフィッシング・キャンペーンについて緊急警告を発しました。
APT42(Charming Kittenとしても知られる)に関連するインフラに結び付けられたこの作戦は、無差別な大量フィッシングではなく、高価値の人員を狙う意図的かつ高度な脅威を示しています。
この攻撃は主な配信経路としてWhatsAppを悪用しており、脅威アクターは正規の組織になりすましたメッセージを送信して信頼性を確立します。
誘導文は会議をテーマにした口実を用い、業界イベントへの参加が想定される標的層を利用して、専門的で正当なものに見えるよう設計されています。
受信者が提示された短縮URLをクリックすると、認証情報や機微情報を窃取するために作られた偽装サイトへリダイレクトされます。
場合によっては、このインフラが被害者のデバイスに悪意のあるファイルも配布し、認証情報の窃取にとどまらず攻撃対象領域を拡大します。
このキャンペーンは短縮URLサービスとしてmsnl[.]inkを明示的に使用しており、この点が、無作為なフィッシング活動として扱うのではなくAPT42によるものだと帰属を確立するうえで重要となりました。
インフラに基づく帰属
帰属分析は単なる誘導文の検証にとどまらず、インフラレベルの相関へと及び、脅威アクターの特定における信頼度を大幅に高めます。
過去にAPT42と関連付けられてきたインフラを監視していた研究者は、msnl[.]inkと、確立されたAPT42の手口パターンと整合する、より広範なURL短縮エコシステムとの直接的な重複を特定しました。
このインフラ上の関係は、本作戦が孤立したフィッシングの試行ではなく、意図的で協調された脅威活動であることを裏付けます。
msnl[.]inkの短縮URLを起点に追跡すると、明確な運用上の特徴を示す、維持・再利用可能なインフラ・エコシステムが明らかになります。
このインフラの状況は、国家支援活動を示唆するいくつかの重要な特性を示しています。
目的に合わせて作られたカスタムURL短縮サービスが複数のキャンペーンにわたり恒常的なツールとして機能しており、一時しのぎの資源ではなく長期的な運用計画を示唆します。
サーバーのフィンガープリントは一貫してMicrosoft IIS/10.0構成を示し、標準化されたインフラ展開手法を示しています。
ホスティング・インフラはオランダ、ドイツ、モルドバ、イタリアに集中しており、これらはイラン系脅威グループが運用インフラとして悪用することで一般的に知られる管轄です。
動的DNSサービスの一貫した再利用と、戦略的なドメイン命名規則(特に.inkおよび.infoのトップレベルドメイン)を組み合わせている点は、確立されたAPT42のオペレーショナル・セキュリティ慣行を反映しています。
分析により、以前に追跡されたAPT42関連インフラとの明確な重複が明らかになり、帰属の信頼度が強化されました。
このキャンペーンは、APT42の継続的な運用能力と標的設定の優先順位を示しています。イスラエルのセキュリティおよび防衛関係者に焦点を当てている点は、地政学的な敵対勢力に関する歴史的なイラン情報機関の目的と一致します。
インフラ再利用のパターンは、APT42が単発のキャンペーン後にツールを破棄するのではなく、持続的で防御された運用リソースを維持していることを示しており、積極的なインフラ監視を実施する防御側にとって重要な示唆となります。
セキュリティ専門職を雇用する組織は、この警告を最優先事項として扱い、WhatsAppベースのソーシャルエンジニアリング経路を強調した、即時のユーザー啓発トレーニングを実施すべきです。
技術チームは、特定されたインフラへの接続を監視し、msnl[.]inkおよび関連ドメインに関する侵害指標(IOC)を実装すべきです。
脅威研究者による継続的な分析により、インフラ拡張パターン、リダイレクトチェーンの挙動、ホスティングおよびASNのピボット、過去キャンペーンとの重複に対処する追加のハンティングクエリが提供される見込みであり、これらのリソースは、防御側により広範なAPT42運用エコシステムに関する戦術的・戦略的な可視性をもたらします。
翻訳元: https://gbhackers.com/spear-phishing-2/
