APT34

OilRigまたはHELIX KITTENとしても知られるAPT34は、少なくとも2014年から活動しているイランの国家支援によるサイバースパイ集団であり、洗練されたスピア・アクティビティを駆使して中東全域およびそれ以外の地域の組織を標的としていることで知られています。フィッシング キャンペーンやカスタム・malware、中東をはじめとする世界中の組織を標的としていることで知られています。

貴社はAPT34の攻撃に対して安全ですか?

APT34の起源

APT34(OilRig、HELIX KITTEN、CHRYSENE、COBALT GYPSYとしても知られる)は、少なくとも2014年から活動しているイランの国家支援による高度持続的脅威(APT)グループです。このグループは、イラン情報セキュリティ省(MOIS)に代わって活動していると評価されています。APT34は主に、中東、北アフリカ(MENA)、ユーラシア大陸の一部にわたって、イランの地政学的諜報活動の目的を達成することに重点を置いています。その洗練されたカスタムツールセット、DNSハイジャック能力、戦略的なスピア攻撃で知られています。フィッシング キャンペーンで知られるAPT34は、ソーシャルエンジニアリングや一般に入手可能なツールを活用して、標的のネットワークにアクセスし、持続的に侵入します。

APT34の標的国

APT34の活動は、サウジアラビア、アラブ首長国連邦、イスラエル、ヨルダン、レバノン、イラク、バーレーン、クウェート、イエメン、シリア、カタールなど、主に中東と東ユーラシアの国々に焦点を当てている。その範囲は南アフリカ、トルコ、アゼルバイジャン、モーリシャスにも及んでおり、この地域に対する関心の広がりと、近隣諸国を超えた情報収集の努力を示している。

APT34が標的とする産業

APT34は広範なセクター、特に国益に沿った情報収集を標的としている。これには、学術機関、エネルギー(特に石油・ガス)、製造業、金融サービス、電気通信、政府機関などが含まれます。さらに、テクノロジー、軍事、メディア、法執行機関、化学産業などの組織も、より広範な監視や破壊活動の一環として、しばしば標的とされています。

APT34の犠牲者

注目すべき活動としては、Command and Control (C2)インフラを確立するためにイスラエルの人材や求人ポータルを侵害したこと、オープンソースの脆弱性スキャナを使用してヨルダンとシリアの組織を標的とした偵察活動などがある。同グループは、政府機関や重要なインフラ部門において、信頼関係を悪用してより価値の高いターゲットに軸足を移し、サプライチェーンを侵害した過去がある。

攻撃方法

APT34の攻撃手法

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

APT34は通常、スピアフィッシングの電子メール侵害されたアカウントから送信されることもある)やLinkedInのメッセージを使用してペイロードを配信する。また、偽のVPNや仕事関連のウェブサイトを立ち上げ、被害者をおびき寄せます。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

CVE-2024-30088のような脆弱性を悪用し、クレデンシャルダンプツール(Mimikatzなど)を使ってSYSTEMやドメインレベルのアクセス権を得る。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

APT34は、難読化署名されたmalware使用、システムファイアウォールの無効化、インジケータ除去技術によって検知を回避している。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

LaZagnePICKPOCKETVALUEVAULTなどのツールは、ブラウザ、LSASS メモリ、Windows Credential Manager からクレデンシャルをダンプするために使用される。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

彼らは、SoftPerfect Network Scanner、WMI、およびレジストリ、ユーザーアカウント、およびサービスを照会するためのさまざまなスクリプトなどのツールを使用して、広範な偵察を実行します。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

有効なアカウントRDPVPNPlinkSSHを使用し、システムを迂回し、検知されずにネットワークを移動する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

APT34は、キーロガークリップボードデータステアラーブラウザデータエクストラクター自動化ツールを使用して、認証情報や機密ファイルを収集します。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

ペイロードは、PowerShellVBScriptマクロバッチファイルWMIHTMLヘルプ(CHM)ファイルを介して実行されます。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

データは、HTTPDNSトンネリングFTP、さらには侵害された電子メールアカウントを使用して流出する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

主な目的は破壊よりもデータの窃盗である。その影響は戦略的で、破壊工作よりも情報収集に重点を置いている。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

APT34は通常、スピアフィッシングの電子メール侵害されたアカウントから送信されることもある)やLinkedInのメッセージを使用してペイロードを配信する。また、偽のVPNや仕事関連のウェブサイトを立ち上げ、被害者をおびき寄せます。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

CVE-2024-30088のような脆弱性を悪用し、クレデンシャルダンプツール(Mimikatzなど)を使ってSYSTEMやドメインレベルのアクセス権を得る。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

APT34は、難読化署名されたmalware使用、システムファイアウォールの無効化、インジケータ除去技術によって検知を回避している。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

LaZagnePICKPOCKETVALUEVAULTなどのツールは、ブラウザ、LSASS メモリ、Windows Credential Manager からクレデンシャルをダンプするために使用される。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

彼らは、SoftPerfect Network Scanner、WMI、およびレジストリ、ユーザーアカウント、およびサービスを照会するためのさまざまなスクリプトなどのツールを使用して、広範な偵察を実行します。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

有効なアカウントRDPVPNPlinkSSHを使用し、システムを迂回し、検知されずにネットワークを移動する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

APT34は、キーロガークリップボードデータステアラーブラウザデータエクストラクター自動化ツールを使用して、認証情報や機密ファイルを収集します。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

ペイロードは、PowerShellVBScriptマクロバッチファイルWMIHTMLヘルプ(CHM)ファイルを介して実行されます。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

データは、HTTPDNSトンネリングFTP、さらには侵害された電子メールアカウントを使用して流出する。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

主な目的は破壊よりもデータの窃盗である。その影響は戦略的で、破壊工作よりも情報収集に重点を置いている。

MITRE ATT&CK マッピング

APT34が使用したTTP

TA0001: Initial Access
T1566
Phishing
T1078
Valid Accounts
TA0002: Execution
T1204
User Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1547
Boot or Logon Autostart Execution
T1137
Office Application Startup
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1553
Subvert Trust Controls
T1140
Deobfuscate/Decode Files or Information
T1027
Obfuscated Files or Information
T1070
Indicator Removal
T1078
Valid Accounts
TA0006: Credential Access
T1557
Adversary-in-the-Middle
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1021
Remote Services
TA0009: Collection
T1557
Adversary-in-the-Middle
T1115
Clipboard Data
T1113
Screen Capture
T1074
Data Staged
TA0011: Command and Control
T1573
Encrypted Channel
T1071
Application Layer Protocol
T1001
Data Obfuscation
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
T1030
Data Transfer Size Limits
TA0040: Impact
T1485
Data Destruction
プラットフォーム検出

Vectra AIでAPT34を検知 方法

Vectra AI Platformで利用可能なAPT攻撃を示す検出のリスト。

よくあるご質問(FAQ)

APT34の背後には誰がいるのか?

APT34の最も一般的な初期アクセス方法とは?

APT34はどのような種類のmalware いるのか?

APT34はどのようにして被害者のネットワークで持続性を維持しているのか?

APT34はどのようにしてデータを流出させるのか?

APT34はどのような脆弱性を悪用しているのか?

クレデンシャル・アクセスにはどのようなツールを使用するのか?

組織はどのようにしてAPT34の活動を検知 できるのか?

APT34の侵入に対応する最善の方法とは?

APT34に対してどのような検知ソリューションが有効か?