「5分間ハント」について:「 5分間ハント」は 、 Vectra AI の「Investigate」タブで利用可能な機能です。各ハントでは特定の攻撃者の行動に焦点を当て、すぐに実行可能なクエリを提供します。
今週の調査では、OilRig(APT34)やCharming Kitten(APT35)など、イラン政府と関連する脅威グループに焦点を当てています。これらのグループは、IDの不正取得や隠蔽されたコマンド&コントロール(C&C)インフラを通じて、引き続き組織を標的にしています。
イラン系組織が単一の侵入経路に依存することはめったにない。典型的な侵入の連鎖は、認証情報の フィッシング やパスワードスプレー攻撃から始まり、クラウドIDシステム内での静的な潜伏、そして攻撃者のインフラへのアウトバウンド通信へと続く。ネットワークトラフィックやSaaSのIDログには、多くの場合、最も初期の証拠が残されている。
以下の「5分間ハンティング」は、Vectra AI Platform内でそれらのシグナルを迅速に特定することを目的としています。
APT35を追う – チャーミング・キッテン
APT35 Pupy マルウェア インフラ
APT35は、標的型スパイ活動において、リモート管理ツール「Pupy」を展開していることが確認されている。
Pupyは、攻撃者が侵害されたホストを遠隔操作し、コマンドを実行し、機密データを盗み出すことを可能にするクロスプラットフォーム型のRATです。一度展開されると、感染したシステムは外部のコマンド&コントロールサーバーと通信し、指示を受け取り、収集した情報を送信します。
既知のPupyインフラとの通信を監視することで、攻撃のライフサイクルの早い段階で侵害されたシステムを特定するのに役立ちます。
照会の目的
この検索では、以下の項目が特定されます:
- 送信元または宛先のIPアドレスが、APT35 Pupyの活動に関連する既知のインフラストラクチャと一致するネットワークセッション
- 通信に使用されるプロトコル
(proto_name) - ホスト間の接続数
(接続数) - この活動が最後に観測されたのは
(最終アクセス日時)
SELECT
id.orig_h AS source_ip,
id.resp_h AS dest_ip,
proto_name,
COUNT(*) AS 接続数,
MAX(timestamp) AS last_seen
FROM network.isession._all
WHERE
(id.orig_h IN ('154.12.20.218', '144.172.107.157', '149.28.52.61', '66.55.159.84', '172.235.235.80')
OR id.resp_h IN ('154.12.20.218', '144.172.107.157', '149.28.52.61', '66.55.159.84', '172.235.235.80'))
AND タイムスタンプが date_add('day', -14, now()) AND now()
GROUP BY id.orig_h, id.resp_h, proto_name
ORDER BY connection_count DESC
LIMIT 100
注目すべき点
アナリストは特に以下の点に注意を払うべきである:
- 内部のホストが、同じ不審な外部IPアドレスと繰り返し通信している
- システムにとって予期しないプロトコル経由で確立される接続
- ビーコン動作を示唆する可能性のある、持続的または繰り返し発生する接続
さらに詳しく調べる方法
- 不審なIPアドレスを、脅威インテリジェンスの情報源および社内の許可リストと照合する
- DNS、HTTP、SSL、およびエンドポイントのテレメトリに焦点を移し、関連するアクティビティを特定する
- EDRまたはSysmonを使用して、ネットワークトラフィックを生成しているホスト上のプロセスを調査する
- 悪意のあるものと確認された場合は、インフラストラクチャをブロックし、影響を受けたエンドポイントを隔離して修復を行う
関連するMITREの手法:
- T1071 – アプリケーション層プロトコル
- T1105 – インジェス・ツール・トランスファー
- T1059– コマンドおよびスクリプトインタプリタ
APT35による偵察活動に関連するデバイス登録の失敗
APT35は、認証情報を盗み出した後、Microsoft 365環境内で偵察活動を行うことがよくあります。
一般的な手法の一つとして、ユーザーアカウントへの新規デバイスの登録を試みるものがあります。こうした試みが失敗した場合でも、この活動からは、攻撃者が永続化を図る前に認証情報をテストしたり、テナントのポリシーを調査したりしているという貴重な手がかりが得られることがあります。
デバイス登録の失敗が繰り返される場合は、攻撃者が盗んだ認証情報を検証したり、より標的を絞った侵入を開始する前にデバイスの信頼ポリシーを調査したりしている可能性を示唆している。
照会の目的
この検索では、以下の項目が特定されます:
- デバイス登録の試行が失敗したMicrosoft 365 ディレクトリ監査イベント
- この試行を開始したユーザーアカウント
(user_principal_name) - 発信元のIPアドレス
- 障害の原因
(結果の理由) - 登録の試みに関連するリソース
SELECT
id,
activity_date_time,
アクティビティの表示名,
initiated_by.user.user_principal_name,
initiated_by.user.ip_address,
結果,
結果理由,
target_resources
FROM m365.directory_audits._all
WHERE
LOWER(activity_display_name) LIKE '%register device%'
AND LOWER(result) = 'failure'
AND timestamp > date_add('day', -14, DATE(NOW()))
ORDER BY activity_date_time DESC
LIMIT 100
注目すべき点
アナリストは特に以下の点に注意を払うべきである:
- 同じIPアドレスからのアクセスが複数回失敗しました
- テナント内の複数のユーザーを標的とした攻撃
- 見慣れない地理的場所を原因とするデバイスの登録失敗
- 不審なログイン試行や フィッシング フィッシングアラート
さらに詳しく調べる方法
- そのユーザーアカウントに関連するサインインログと認証イベントを確認する
- そのIPアドレスがVPN、匿名化サービス、または既知の攻撃者インフラに関連付けられているかどうかを確認する
- その後の認証またはデバイス登録の成功を確認する
- 不審な活動が確認された場合は、パスワードの再設定を義務付け、セッションを終了させ、そのアカウントを監視してさらなる異常な動作がないか確認してください
関連するMITREの手法:
- T1078.004– 有効なアカウント(クラウドアカウント)
- T1595– アクティブスキャン
- T1598 – フィッシング 情報収集
APT35に関連する不審なデバイスの登録 フィッシング
「チャーミング・キッテン」の通称で知られるAPT35は、Microsoft 365ユーザーを標的とした認証情報収集キャンペーンで知られています。有効な認証情報を入手した後、攻撃者はテナント内に新しいデバイスを登録することがよくあります。
この手口により、パスワードが変更されてもアクセス権を維持できるほか、信頼されたデバイスに紐づけられた条件付きアクセス規則を回避できる可能性があります。実際には、これにより攻撃者は環境内で正当なエンドポイントとして動作することが可能になります。
デバイスの登録イベントは Microsoft 365 のディレクトリ監査ログに記録されるため、フィッシング攻撃後のフィッシング 攻撃後の持続性を追跡する際の貴重な手がかりとなります。
照会の目的
この検索では、以下の項目が特定されます:
- デバイス登録アクティビティに関連する Microsoft 365 ディレクトリ監査イベント
- 登録を行うユーザーアカウント
(user_principal_name) - その活動中に使用されたIPアドレス
- 登録の試みの結果
(結果) - 当該措置に関連するリソース
(対象リソース)
SELECT
id,
activity_date_time,
アクティビティの表示名,
initiated_by.user.user_principal_name,
initiated_by.user.ip_address,
結果,
target_resources
FROM m365.directory_audits._all
WHERE
LOWER(activity_display_name) LIKE '%register device%'
AND timestamp > date_add('day', -14, DATE(NOW()))
ORDER BY activity_date_time DESC
LIMIT 100
結果で注目すべきポイント
アナリストは特に以下の点に注意を払うべきである:
- 見慣れないIPアドレスや海外からのIPアドレスによるデバイスの登録
- 不審なログイン操作の直後に発生した登録
- これまで一度もデバイスを登録したことのないアカウント
- 短期間に複数のデバイスが登録された
さらなる調査方法
- そのデバイスが正当なユーザーのものかどうかを確認してください。
- このアクティビティを、Microsoft 365 のサインインログおよび危険なサインインの警告と照合してください。
- 新しい認証方法、パスワードのリセット、トークンの作成など、その他のID操作に関連するイベントを確認してください。
- そのアクティビティが悪意のあるものと判断された場合は、セッションを無効化し、認証情報をリセットし、テナントから不正なデバイスを削除してください。
関連するMITREの手法:
- T1078.004 – 有効なアカウント(クラウドアカウント)
- T1098 – アカウントの不正操作
APT34の追跡 – OilRig
OilRig(APT34)のコマンド&コントロール(C&C)インフラの検知
OilRig( 別名APT34)は、政府機関、金融機関、エネルギー関連組織を標的とした長期にわたるスパイ活動を日常的に展開している。
こうした攻撃キャンペーンに見られる一般的なパターンの一つは、侵害されたサーバーや低価格のVPSプロバイダー上にホストされた、攻撃者が制御するインフラとの継続的な通信である。
たとえ……であっても マルウェア が高度に難読化されている場合でも、コマンド&コントロールに使用されるインフラは、ネットワーク通信のパターンを検出できるだけの十分な期間、稼働し続ける傾向があります。
既知のOilRigインフラへのトラフィックを監視することで、侵害されたホストや、攻撃の初期段階で利用されたステージングシステムを迅速に特定することができます。
照会の目的
この検索では、以下の項目が特定されます:
- 送信元または宛先のIPアドレスが、既知のOilRigインフラストラクチャと一致するネットワークセッション
- 通信に使用されるプロトコル
(proto_name) - ホスト間の接続総数
- この活動が最後に観測されたのは
(最終アクセス日時)
SELECT
id.orig_h AS source_ip,
id.resp_h AS dest_ip,
proto_name,
COUNT(*) AS 接続数,
MAX(timestamp) AS last_seen
FROM network.isession._all
WHERE
(id.orig_h IN ('103.61.224.102', '178.209.51.61', '185.76.78.177')
OR id.resp_h IN ('103.61.224.102', '178.209.51.61', '185.76.78.177'))
AND タイムスタンプが date_add('day', -14, now()) AND now()
GROUP BY id.orig_h, id.resp_h, proto_name
ORDER BY connection_count DESC
LIMIT 100
注目すべき点
アナリストは特に以下の点に注意を払うべきである:
- 内部のホストが、同じ不審なIPアドレスに繰り返し接続している
- 通常とは異なる、あるいは予期しないプロトコル上で発生する接続
- ビーコン行動を示唆する持続的なコミュニケーションパターン
さらに詳しく調べる方法
- 不審なIPアドレスを、脅威インテリジェンス・フィードおよび最新のOilRigインフラストラクチャに関するレポートと照合する
- 影響を受けたホストのDNS、HTTP、SSL、およびエンドポイントのテレメトリに焦点を移す
- 実行ログを確認して特定する マルウェア または接続を生成するスクリプトを特定する
- 境界制御で悪意のあるインフラストラクチャを特定し、侵害されたホストを隔離して修復を行う
関連するMITREの手法:
- T1071 – アプリケーション層プロトコル
- T1105 – インジェス・ツール・トランスファー
- T1090– プロキシ
OilRig SpyNote インフラストラクチャの活動状況
OilRigの攻撃キャンペーンにおいて 、SpyNoteマルウェア が展開されていることが確認されている。
SpyNoteは、ダイナミックDNSサービスやポート転送プラットフォームの背後にホストされた攻撃者のインフラと頻繁に通信を行います。これらのドメインは頻繁に変更されますが、次のようなサービスに関連した、特定可能なパターンに従っています。 localto.net または portmap.host.
たとえ マルウェア が休眠状態であっても、感染したホストはコマンド&コントロールサーバーへの再接続を試みながら、これらのドメインに対して繰り返しDNSルックアップを行う傾向があります。
これらのDNSクエリにより、攻撃者が実際にコマンドを発行する前に、感染したシステムが露見する可能性があります。
照会の目的
この検索では、以下の項目が特定されます:
- 過去にOilRig SpyNoteの活動に関連付けられていたドメインへのDNSクエリ
- 内部ホスト
(送信元IP、送信元ホスト名)DNSリクエストの生成 - ドメインへのクエリ実行回数
(クエリ数) - その活動が最後に発生したのは
(最終アクセス日時)
SELECT
query AS queried_domain,
id.orig_h AS source_ip,
orig_hostname.name AS source_hostname,
COUNT(*) AS query_count,
MAX(timestamp) AS last_seen
FROM network.dns._all
WHERE
query IN (
'hecker12345-61516.portmap.host',
'software-garlic.gl.at.ply.gg',
'dohinukss.localto.net',
'suzrbgndb.localto.net',
'49lwbineu.localto.net',
'idi-nahuy.net',
'utoigzdol.localto.net',
'cyqahoxnt.localto.net',
'xnd4x3ezm.localto.net',
'5z6y8mkfe.localto.net',
'fqq121qq-33728.portmap.host',
'shabi9988-64207.portmap.host',
'shzkagxdv.localto.net',
'artemmakarov-30233.portmap.host',
'hssshsh-33054.portmap.host',
'0p7wfcoia.localto.net',
'wq4x0gt8l.localto.net',
'cezamail.com.cezamail.com',
'cezamail.com.localto.net',
'buglwf041.lo'
)
かつ タイムスタンプが date_add('day', -14, now()) AND now()
GROUP BY query, id.orig_h, orig_hostname.name
ORDER BY query_count DESC
LIMIT 100
注目すべき点
アナリストは特に以下の点に注意を払うべきである:
- ホストが同じ不審なドメインに対して繰り返しクエリを送信している
- 次のようなダイナミックDNSインフラへのクエリ
localto.netまたはportmap.host - 不審なプロセスの実行やユーザーの操作の直後に発生するクエリ
さらに詳しく調べる方法
- エンドポイントテレメトリ(EDR、Sysmonなど)を使用して、クエリを生成しているホストを調査する
- HTTP/SSLセッションを詳細に分析し、その後の接続が発生したかどうかを確認する
- 脅威インテリジェンス・フィードおよびサンドボックスレポートに基づいてドメインを検証する
- 悪意のある活動が確認された場合は、ホストを隔離し、ドメインをブロックし、完全な是正措置を講じてください
関連するMITREの手法:
- T1071.004 – アプリケーション層プロトコル(DNS)
- T1105 – インジェス・ツール・トランスファー
- T1090 – プロキシ
QasarRATのインフラストラクチャ活動の追跡
QasarRATは、スパイ活動や監視活動で頻繁に利用される、広く普及しているオープンソースのリモートアクセストロイの木馬です。一度システムに侵入されると、攻撃者は侵害されたシステムを継続的に制御できるようになり、コマンドの実行、活動の監視、データの持ち出しが可能になります。
多くのQasarRATキャンペーンでは、コマンド&コントロール(C&C)インフラのホスティングにダイナミックDNSプロバイダーを利用しています。これらのサービスを利用することで、攻撃者は同じドメイン名を維持したままバックエンドサーバーをローテーションさせることができ、インフラの追跡を困難にしています。
たとえ マルウェア が休止状態であっても、感染したシステムは通常、C2ドメインへの解決を継続します。既知のQasarRATインフラに関連するDNSクエリを監視することで、攻撃者が制御するサーバーへの接続を試みている侵害されたホストを特定することができます。
照会の目的
この検索では、以下の項目が特定されます:
- QasarRATのインフラストラクチャで以前に確認されたドメインに対するDNSクエリ
- 内部ホスト
(送信元IP、送信元ホスト名)クエリを実行する - 依頼の頻度
(クエリ数) - 活動が確認されたのは、つい最近のことである
(最終アクセス日時)
SELECT
query AS queried_domain,
id.orig_h AS source_ip,
orig_hostname.name AS source_hostname,
COUNT(*) AS query_count,
MAX(timestamp) AS last_seen
FROM network.dns._all
WHERE
query IN (
'luvxcide.duckdns.org',
'projectindia999.loseyourip.com',
'cia.anondns.net',
'skittlesforlife.anondns.net',
'bnli8khzo.localto.net',
'isof63umlw.loclx.io',
'docsc.ddns.net'
)
かつ タイムスタンプが date_add('day', -14, now()) AND now()
GROUP BY query, id.orig_h, orig_hostname.name
ORDER BY query_count DESC
LIMIT 100
注目すべき点
アナリストは特に以下の点に注意を払うべきである:
- ホストが同じ不審なドメインに対して繰り返しクエリを送信している
- ダイナミックDNSプロバイダー(例:duckdns.org、ddns.net、anondns.net、localto.net、loclx.io)でホストされているドメイン
- 不審なプロセスの実行や予期せぬ外部へのトラフィックと一致するDNSアクティビティ
さらに詳しく調べる方法
- エンドポイントテレメトリ(EDR、Sysmonなど)を使用してソースホストを調査し、クエリを生成しているプロセスを特定する
- DNS解決後に接続が確立されたかどうかを判断するために、ネットワークセッションデータ(isession、ssl、http)を参照する
- 脅威インテリジェンスの情報源と照合してドメインを検証し、 マルウェア レポート
- 悪意のあるものと確認された場合は、ドメインをブロックし、影響を受けたシステムを隔離して対処してください
関連するMITREの手法:
- T1071.004 – アプリケーション層プロトコル(DNS)
- T1105 – インジェス・ツール・トランスファー
- T1059– コマンドおよびスクリプトインタプリタ
まとめ
イランと関連する脅威アクターは、認証情報の悪用、クラウドIDの改ざん、および隠蔽されたコマンド&コントロール通信経路を多用している。こうした活動の多くは、正当なトラフィックやユーザーの行動に紛れ込んでいるため、従来の境界防御だけでは検知が困難である。
このような的を絞った調査を実施することで、攻撃者が権限を昇格させたり、データを配置したり、環境のより奥深くへ侵入したりする前に、アナリストは早期の兆候を特定することができる。
すでに Vectra AI をご利用中の方は、これらのクエリを「Investigate」タブで 直接実行し、 即座にIDおよびネットワークのテレメトリデータに切り替えて、 そのアクティビティが正当なものか悪意のあるものかを判断できます。
SOCチームが攻撃者の行動をより迅速に特定し、侵入から対応までの時間を短縮できるよう、新しい「5分間ハンティング」が定期的に公開されています。
まだ会員登録がお済みではありませんか? セルフガイド型デモをご覧ください振る舞い これらの脅威を自動的に検出する仕組みを、ぜひご自身でお試しください。
