出典:Arterra Picture Library(Alamyストックフォト経由)
わずか数週間の間に、イランのハッカーが世界11の通信会社、衛星事業者、航空宇宙機器メーカーから極めて機密性の高いデータを盗み出しました。
サイバー防御担当者は、「Subtle Snail」(別名UNC1549)による中東発のサイバー攻撃をおよそ4年間にわたり追跡し、または防御してきました。最初は2021年、バーレーン拠点のITインテグレーターが攻撃を受けました。研究者らは、これはより価値の高い顧客への足がかりだったのではないかと考えています。その後、航空宇宙や防衛企業への関心が高まったようです。Googleの研究者はイスラエルとアラブ首長国連邦(UAE)での攻撃、さらにアルバニア、インド、トルコでの活動の証拠を観測しました。
Prodaftの研究者が観測した最近の一連の攻撃では、Subtle Snailが中東、ヨーロッパ、北米にわたって作戦を展開しました。航空宇宙や防衛分野だけでなく、通信業界、特に衛星通信に多くの焦点を当てています。最近の被害者の中には、数百万人の顧客を抱える巨大企業も含まれており、すべての攻撃を徹底的にカスタマイズすることで大物を仕留めています。
Charming Kittenが通信会社をスパイ
Subtle Snailの成功は、各ターゲットごとに攻撃をカスタマイズするために多大な労力をかけている点にあります。
まず、グループは関心のある組織内のキーパーソンを特定します。IT管理者、研究者、開発者は、機密システムや業務データへのアクセス権が平均より大きいため、理想的な標的となります。攻撃者はこれらの人物について、特にLinkedInなどのオンラインプロフィールやWeb上に公開されている有用な情報を調査します。当然、ターゲットの雇用主についても情報収集を行います。
次に、攻撃者はLinkedIn上でリクルーターになりすまし、偽の求人情報でターゲットに接触します。これらの偽プロフィール、求人、そして誘導先のフィッシングドメインは、いずれも宇宙および航空宇宙技術分野の欧州企業、TelespazioまたはSafran Groupを装っています。ターゲットは自分のキャリアにぴったりな求人に惹かれ(なんという偶然!)、フィッシングリンクをクリックして個人情報を開示し始めます。
最終的に感染するバックドア「MiniBike」は、フィッシングの誘いよりもさらにカスタマイズされています。単体では、基本的なシステム情報の収集、永続化の確立、C2(コマンド&コントロール)サーバーへの接続、その他多数の標準的な悪意ある機能を備えた、ごく一般的なマルウェアです。
MiniBikeの主な目的は、動的リンクライブラリ(DLL)の形で追加コンポーネントをロードすることです。モジュラー型バックドアの極端な例として、実行可能な各機能は独自のDLLとしてダウンロードされ、わずかに変更されて独自のバリアントとなります。つまり、MiniBikeが2つの異なるシステムにキーロガーを展開した場合、それぞれ見た目が完全には一致しません。
「運用上、このマルウェアはモジュール式で機能的には同じです」とProdaftのチーフインテリジェンスオフィサー、Halit Alptekin氏は説明します。「しかし、実際には1ビットでも変更されれば異なるハッシュとなり、多くのウイルス対策製品はこれらのバリアントを検知しきれません。一部のベンダーは挙動分析を行っていますが、その検知ルールもすべてのバリアントを捕捉するには十分ではありません。」
さらに彼は「他のイラン系脅威グループにも同様のパターンが見られます。初期アクセス手法は様々ですが、ほとんどのキャンペーンはDLLサイドローディングと、ほぼ同一に見えるカスタムマルウェアの組み合わせに依存しています。」と付け加えます。
Subtle Snail:国際スパイ活動の痕跡
攻撃チェーンの最終段階で、Subtle Snailは以下を含む様々なデータの窃取を狙います(これらに限定されません):
-
システムおよびネットワーク情報(インストール済みのセキュリティプログラム、VPN設定ファイル、ユーザーのブラウザ利用パターンに関するデータなどを含む);
-
パスワードマネージャー、ファイル、Chromium系ブラウザなどに保存された認証情報;
-
写真やパスポートのスキャンなど、個人を特定できる情報(PII)、またはターゲットシステム上の他の場所にある機密データ;
-
企業の機密データ(機密文書、顧客データベース、ソースコードリポジトリなど、あらゆる形式);
全体としての目的は2つあるようです。研究開発に有用な情報の収集と、国際的なスパイ活動に利用するための通話データ記録(CDR)の窃取です。
これはSubtle Snailの一般的な特徴とも一致します。このグループはTortoiseshell(別名Unyielding Wasp)と関連しており、さらにCharming Kittenの一部と考えられています。Charming Kittenは北朝鮮のKimsukyのように、母国からのあらゆる攻撃の責任を負わされる傘型の高度持続的脅威(APT)の一つです。Charming Kittenはイラン革命防衛隊(IRGC)と関連しています。
アトリビューション(攻撃者の特定)は常に難しいとAlpetkin氏は警告します。比較的確実に言えるのは、イランのハッカーはマルウェア開発者と初期アクセスオペレーターに明確に分かれており、「多くの人物はセキュリティ企業に雇用されつつ、政府の顧客のためにも働いている」ということです。
そしてSubtle Snailは、あらゆる証拠から国家の利益のために活動しています。彼は「通信会社から文書が盗まれた場合、その種のデータを買うのはたいてい政府だけです」と指摘します。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/iranian-state-apt-telcos-satellite-companies