APT33
APT33は、少なくとも2013年から活動しているイランの国家支援による脅威グループと疑われており、サイバー・スパイ活動や潜在的な破壊工作を通じて、航空宇宙、エネルギー、防衛分野を標的としていることで知られている。
APT33の起源
HOLMIUM、COBALT TRINITY、Elfin、Refined Kitten、Peach Sandstormとしても知られるPT33は、少なくとも2013年以降活動しているイランの国家支援による脅威グループです。このグループは、イランのイスラム革命防衛隊(IRGC)との関連が疑われており、サイバー・スパイ活動や場合によっては破壊活動を行うことで、イランの戦略的目標を支援していると考えられています。APT33は、スピアフィッシング、malware、公開攻撃型セキュリティツールの使用で特に知られており、標的環境にアクセスするためにマイクロソフトの技術を活用することが多い。
APT33の標的国
APT33の活動は、主に米国、サウジアラビア、アラブ首長国連邦、韓国を標的としている。これらの国々は中東において政治的、経済的に重要であり、しばしばイランの外交政策に反対しています。サイバー活動は、重要なインフラや技術の進歩に関する情報収集を目的とすることもある。
APT33が標的とする産業
APT33は、航空宇宙、エネルギー、防衛、エンジニアリング、産業部門の組織に幅広く焦点を当てています。彼らの関心は、イランの経済的・軍事的目的、特に石油・ガス・インフラや地域の敵対国や世界の競争相手の防衛能力に関するものと一致している。
APT33の犠牲者
注目すべきは、APT33が米国のエンジニアリング企業や航空宇宙企業、サウジアラビアの石油・エネルギー複合企業、UAEを拠点とする重要インフラ事業体を標的としていたことです。APT33の活動には、サイバー諜報活動と、 malware Shamoon」キャンペーンに関連するような潜在的な破壊的攻撃の準備の両方が含まれていますが、APT33への帰属は状況証拠に基づく場合もあります。
APT33の攻撃手法
APT33は主に、悪意のある.htaリンク、悪意のあるファイル、またはアーカイブを添付したスピアフィッシングメールを使用しています。また、Office 365のクラウドアカウントを含む有効なアカウントを、時にはパスワードの散布によって侵害しています。
CVE-2017-0213のようなエクスプロイトは、ローカルエスカレーションに使用されている。さらに、これらはダンプツールを介して取得された有効な管理者認証情報を使用します。
永続性は、レジストリの実行キー、スタートアップフォルダの展開、スケジュールされたタスク、およびWMIイベントのサブスクリプションによって維持されます。APT33は、検出を回避するために、エンコードされたペイロード(base64)、暗号化されたC2チャネル(AES)、PowerShellの難読化、および malware 使用しています。
クレデンシャル・ハーベスティングは、LaZagne、Mimikatz、SniffPassのようなツールを使って、ブラウザ・クレデンシャル、LSASSメモリ、GPPパスワード、キャッシュされたドメイン・クレデンシャルを狙って行われる。
一般的なスクリプトやツールを使って、システム、ネットワーク・トポロジー、アカウント権限を列挙し、横の動きを探る。
システム間の移動は、ハーベストされた認証情報、リモート・デスクトップ・プロトコル、および有効なアカウント・アクセスを使って容易に行われる。
機密ファイルはWinRARのようなツールを使ってアーカイブされ、バックドアインプラントを使ったスクリーンキャプチャが含まれることもある。
PowerShell、VBScript、またはユーザーを騙して悪意のある添付ファイルを起動させることで、悪意のあるペイロードを実行します。また、CVE-2017-11774や CVE-2018-20250といったソフトウェアの脆弱性を悪用することもあります。
データは、暗号化されていないFTP、HTTP、HTTPSチャネルを介して、時には暗号化されたペイロードとともに非標準ポート(808/880)経由で流出する。
APT33は主にスパイ活動を目的としており、決定的な証拠はないものの、シャムーン(Shamoon)のような行動との関連によって証明されるように、破壊的な活動を行う能力を持っている。
APT33は主に、悪意のある.htaリンク、悪意のあるファイル、またはアーカイブを添付したスピアフィッシングメールを使用しています。また、Office 365のクラウドアカウントを含む有効なアカウントを、時にはパスワードの散布によって侵害しています。
CVE-2017-0213のようなエクスプロイトは、ローカルエスカレーションに使用されている。さらに、これらはダンプツールを介して取得された有効な管理者認証情報を使用します。
永続性は、レジストリの実行キー、スタートアップフォルダの展開、スケジュールされたタスク、およびWMIイベントのサブスクリプションによって維持されます。APT33は、検出を回避するために、エンコードされたペイロード(base64)、暗号化されたC2チャネル(AES)、PowerShellの難読化、および malware 使用しています。
クレデンシャル・ハーベスティングは、LaZagne、Mimikatz、SniffPassのようなツールを使って、ブラウザ・クレデンシャル、LSASSメモリ、GPPパスワード、キャッシュされたドメイン・クレデンシャルを狙って行われる。
一般的なスクリプトやツールを使って、システム、ネットワーク・トポロジー、アカウント権限を列挙し、横の動きを探る。
システム間の移動は、ハーベストされた認証情報、リモート・デスクトップ・プロトコル、および有効なアカウント・アクセスを使って容易に行われる。
機密ファイルはWinRARのようなツールを使ってアーカイブされ、バックドアインプラントを使ったスクリーンキャプチャが含まれることもある。
PowerShell、VBScript、またはユーザーを騙して悪意のある添付ファイルを起動させることで、悪意のあるペイロードを実行します。また、CVE-2017-11774や CVE-2018-20250といったソフトウェアの脆弱性を悪用することもあります。
データは、暗号化されていないFTP、HTTP、HTTPSチャネルを介して、時には暗号化されたペイロードとともに非標準ポート(808/880)経由で流出する。
APT33は主にスパイ活動を目的としており、決定的な証拠はないものの、シャムーン(Shamoon)のような行動との関連によって証明されるように、破壊的な活動を行う能力を持っている。
APT33が使用したTTP
Vectra AIでAPT33を検知 方法
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。
よくあるご質問(FAQ)
APT33の起源は?
APT33は、イスラム革命防衛隊(IRGC)に関連すると思われるイランの国家支援による脅威グループで、少なくとも2013年から活動している。
APT33はどのような業界を標的にしているのか?
航空宇宙、エネルギー、防衛、エンジニアリング、石油・ガス分野に重点を置いている。
最も影響を受けるのはどの国か?
主なターゲットはアメリカ、サウジアラビア、UAE、韓国など。
APT33はどのようにして最初のアクセスを得るのか?
悪意のある添付ファイルやリンクを使用したスピアフィッシングメールや、パスワードの散布によるOffice 365アカウントの侵害。
APT33に関連するmalware ツールは?
一般的なツールには、POWERTON、RemCos、DarkComet、PowerShell Empire、LaZagne、Mimikatz、SniffPassなどがある。
破壊的な攻撃との関連は?
APT33は主にスパイ活動に重点を置いているが、シャムーン(Shamoon)のような破壊的な活動とも関係がある可能性がある。
どうやって持続性を維持しているのか?
レジストリ・キー、スケジュール・タスク、WMIイベント・サブスクリプション、スタートアップ・フォルダへのRATの配置を使用する。
組織はどのようにしてAPT33の活動を検知 できるのか?
検出には、疑わしいPowerShellアクティビティ、暗号化されたネットワークトラフィック、WMIの不正使用、およびスケジュールされたスクリプトの実行を監視する必要があります。NDRツールの使用をお勧めします。
APT33にはどのような対策が有効か?
MFAの使用、マクロ実行の無効化、不正なレジストリ変更の監視、PowerShellアクセスの制限、ネットワークセグメンテーションの導入。
グループの戦略目標は何か?
APT33は、イランの国益、特に中東のエネルギーと防衛分野を支援するためにスパイ活動を行っており、政治的に都合がよければ破壊工作を行う可能性もある。