APT34
OilRigまたはHELIX KITTENとしても知られるAPT34は、少なくとも2014年から活動しているイランの国家支援によるサイバースパイ集団であり、洗練されたスピア・アクティビティを駆使して中東全域およびそれ以外の地域の組織を標的としていることで知られています。フィッシング キャンペーンやカスタム・malware、中東をはじめとする世界中の組織を標的としていることで知られています。
APT34の起源
APT34(OilRig、HELIX KITTEN、CHRYSENE、COBALT GYPSYとしても知られる)は、少なくとも2014年から活動しているイランの国家支援による高度持続的脅威(APT)グループです。このグループは、イラン情報セキュリティ省(MOIS)に代わって活動していると評価されています。APT34は主に、中東、北アフリカ(MENA)、ユーラシア大陸の一部にわたって、イランの地政学的諜報活動の目的を達成することに重点を置いています。その洗練されたカスタムツールセット、DNSハイジャック能力、戦略的なスピア攻撃で知られています。フィッシング キャンペーンで知られるAPT34は、ソーシャルエンジニアリングや一般に入手可能なツールを活用して、標的のネットワークにアクセスし、持続的に侵入します。
APT34の標的国
APT34の活動は、サウジアラビア、アラブ首長国連邦、イスラエル、ヨルダン、レバノン、イラク、バーレーン、クウェート、イエメン、シリア、カタールなど、主に中東と東ユーラシアの国々に焦点を当てている。その範囲は南アフリカ、トルコ、アゼルバイジャン、モーリシャスにも及んでおり、この地域に対する関心の広がりと、近隣諸国を超えた情報収集の努力を示している。
APT34が標的とする産業
APT34は広範なセクター、特に国益に沿った情報収集を標的としている。これには、学術機関、エネルギー(特に石油・ガス)、製造業、金融サービス、電気通信、政府機関などが含まれます。さらに、テクノロジー、軍事、メディア、法執行機関、化学産業などの組織も、より広範な監視や破壊活動の一環として、しばしば標的とされています。
APT34の犠牲者
注目すべき活動としては、Command and Control (C2)インフラを確立するためにイスラエルの人材や求人ポータルを侵害したこと、オープンソースの脆弱性スキャナを使用してヨルダンとシリアの組織を標的とした偵察活動などがある。同グループは、政府機関や重要なインフラ部門において、信頼関係を悪用してより価値の高いターゲットに軸足を移し、サプライチェーンを侵害した過去がある。
APT34の攻撃手法
APT34は通常、スピアフィッシングの電子メール(侵害されたアカウントから送信されることもある)やLinkedInのメッセージを使用してペイロードを配信する。また、偽のVPNや仕事関連のウェブサイトを立ち上げ、被害者をおびき寄せます。
CVE-2024-30088のような脆弱性を悪用し、クレデンシャルダンプツール(Mimikatzなど)を使ってSYSTEMやドメインレベルのアクセス権を得る。
APT34は、難読化、署名されたmalware使用、システムファイアウォールの無効化、インジケータ除去技術によって検知を回避している。
LaZagne、PICKPOCKET、VALUEVAULTなどのツールは、ブラウザ、LSASS メモリ、Windows Credential Manager からクレデンシャルをダンプするために使用される。
彼らは、SoftPerfect Network Scanner、WMI、およびレジストリ、ユーザーアカウント、およびサービスを照会するためのさまざまなスクリプトなどのツールを使用して、広範な偵察を実行します。
有効なアカウント、RDP、VPN、Plink、SSHを使用し、システムを迂回し、検知されずにネットワークを移動する。
APT34は、キーロガー、クリップボードデータステアラー、ブラウザデータエクストラクター、自動化ツールを使用して、認証情報や機密ファイルを収集します。
ペイロードは、PowerShell、VBScriptマクロ、バッチファイル、WMI、HTMLヘルプ(CHM)ファイルを介して実行されます。
データは、HTTP、DNSトンネリング、FTP、さらには侵害された電子メールアカウントを使用して流出する。
主な目的は破壊よりもデータの窃盗である。その影響は戦略的で、破壊工作よりも情報収集に重点を置いている。
APT34は通常、スピアフィッシングの電子メール(侵害されたアカウントから送信されることもある)やLinkedInのメッセージを使用してペイロードを配信する。また、偽のVPNや仕事関連のウェブサイトを立ち上げ、被害者をおびき寄せます。
CVE-2024-30088のような脆弱性を悪用し、クレデンシャルダンプツール(Mimikatzなど)を使ってSYSTEMやドメインレベルのアクセス権を得る。
APT34は、難読化、署名されたmalware使用、システムファイアウォールの無効化、インジケータ除去技術によって検知を回避している。
LaZagne、PICKPOCKET、VALUEVAULTなどのツールは、ブラウザ、LSASS メモリ、Windows Credential Manager からクレデンシャルをダンプするために使用される。
彼らは、SoftPerfect Network Scanner、WMI、およびレジストリ、ユーザーアカウント、およびサービスを照会するためのさまざまなスクリプトなどのツールを使用して、広範な偵察を実行します。
有効なアカウント、RDP、VPN、Plink、SSHを使用し、システムを迂回し、検知されずにネットワークを移動する。
APT34は、キーロガー、クリップボードデータステアラー、ブラウザデータエクストラクター、自動化ツールを使用して、認証情報や機密ファイルを収集します。
ペイロードは、PowerShell、VBScriptマクロ、バッチファイル、WMI、HTMLヘルプ(CHM)ファイルを介して実行されます。
データは、HTTP、DNSトンネリング、FTP、さらには侵害された電子メールアカウントを使用して流出する。
主な目的は破壊よりもデータの窃盗である。その影響は戦略的で、破壊工作よりも情報収集に重点を置いている。
APT34が使用したTTP
Vectra AIでAPT34を検知 方法
Vectra AI Platformで利用可能なAPT攻撃を示す検出のリスト。
よくあるご質問(FAQ)
APT34の背後には誰がいるのか?
APT34は、イラン情報安全保障省(MOIS)の下で活動し、国家の利益に沿ったサイバースパイ活動に重点を置いていると考えられている。
APT34の最も一般的な初期アクセス方法とは?
主にスピアフィッシングメール、侵害されたウェブサイト、LinkedInを含むソーシャルメディアへの関与フィッシング.
APT34はどのような種類のmalware いるのか?
Helminth、SaitamaAgent、AgentDrable、EarthquakeRAT、さまざまなウェブシェル(TwoFace、IntrudingDivisor)などのmalware 。
APT34はどのようにして被害者のネットワークで持続性を維持しているのか?
スケジュールされたタスク、Outlookホームページの悪用、ngrokや VPNソフトウェアなどの リモートアクセスツールを通じて。
APT34はどのようにしてデータを流出させるのか?
HTTP/DNSチャンネル、FTP、あるいは漏洩した電子メールアカウントを通じてデータを送信する。
APT34はどのような脆弱性を悪用しているのか?
CVEには、CVE-2017-0199、CVE-2017-11882、CVE-2020-0688、CVE-2018-15982、CVE-2024-30088が含まれる。
クレデンシャル・アクセスにはどのようなツールを使用するのか?
ツールとしては、Mimikatz、LaZagne、VALUEVAULT、そしてCDumperやEDumperのようなブラウザベースのデータ・ダンプ・ツールがある。
組織はどのようにしてAPT34の活動を検知 できるのか?
PowerShellの悪用、異常なDNSトンネリング、疑わしいOutlookホームページのレジストリ変更、予期しないVPN接続を監視する。
APT34の侵入に対応する最善の方法とは?
影響を受けるシステムを隔離し、クレデンシャルの再利用を監査し、永続化メカニズムを削除し、C2 トラフィック・パターン(異常な HTTP POST や DNS クエリなど)のログを分析する。
APT34に対してどのような検知ソリューションが有効か?
ネットワーク検知と応答(NDR)ソリューションは、APT34に対して非常に効果的であり、東西トラフィックを深く可視化し、DNSトンネリングやプロトコルの不正使用のようなステルス技術を検知します。PowerShellやWMIを監視するEDR(Endpoint Detection and Response)、特権の昇格やラテラルムーブを相関させるSIMEMと組み合わせることで、組織は包括的で重層的な防御を確立することができます。