APT35
CharmingKittenとしても知られるAPT35は、少なくとも2013年以降活動している、国家に支援されたイランのサイバースパイ・グループであり、洗練されたソーシャル・エンジニアリング・キャンペーンと、政府、学術、民間部門にわたる地政学的敵対者に対する執拗な標的設定で知られている。
APT35の起源
Charming Kitten、Magic Hound、Mint Sandstorm、COBALT ILLUSION、TA453、PHOSPHORUSとしても知られるAPT35は、イランのイスラム革命防衛隊(IRGC)と連携するサイバースパイグループだ。少なくとも2013年から活動しており、イランの地政学的優先事項に沿った情報収集に重点を置いている。彼らの主な活動上の特徴は、ソーシャル・エンジニアリングとphishing使用して、イランにとって敵対的または戦略的に関心があると思われる個人や組織を標的にすることである。
APT35の手口は綿密で、しばしば偽のペルソナを作成し、正規のプラットフォーム(LinkedIn、Google Driveなど)を活用して、クレデンシャルの採取やmalware 配布を行っています。同グループは、世界各地のさまざまな標的に対して長期的かつ執拗なキャンペーンを展開することで知られています。
APT35の標的国
APT35は主に米国、英国、イスラエル、サウジアラビアの組織を標的としているが、彼らのキャンペーンはドイツ、イラク、オーストラリア、イラン(国内の反体制派)、アルバニアといった国々にも及んでいる。これらの地域は、地政学的スタンス、ディアスポラ人口、イラン政権に批判的な反体制派やジャーナリストの受け入れなどの理由から、戦略的に重要である。
APT35が狙う産業
APT35の活動は複数のセクターにまたがっている。優先度の高い標的は政府、防衛、軍事、諜報部門などで、戦略的洞察の収集や機密データの流出を目的としていることが多い。また、学術機関、報道機関、シンクタンク、NGOなどに対しても積極的で、反体制派のシナリオや政策議論を監視することを目的としている。石油・ガス、製薬、航空宇宙、テクノロジー、ヘルスケア、金融サービス、エネルギーなどの業界も頻繁に影響を受けており、経済的・政治的スパイの目的が広範囲に及んでいることがわかる。
APT35の犠牲者
主な被害者には、米国や欧州の政府関係者、イスラエルの学術機関、世界保健機関(WHO)などの組織が含まれる。2025年には、イスラエルの学術機関がGoogle Driveにホストされた悪意のあるLNKファイルで特別に標的にされ、米国を拠点とするシンクタンクに対する以前の侵入で使用された手口と類似していた。
APT35の攻撃手法
主に phishing 、LinkedInやWhatsAppのようなプラットフォーム上でのソーシャルエンジニアリングによって獲得される。標的を欺くために、偽のペルソナや合法的に見えるウェブサイトが使用される。
PowerShellやMimikatzのようなツールを使って、デフォルトアカウントや管理者アカウントを作成したり、有効にしたりして、権限をエスカレートさせる。
このグループは、アンチウイルス、イベントログ、LSA保護を無効にする。また、検知を回避するために、マスカレードや 難読化技術を使用する。
ブラウザやVPNから認証情報を盗み出し、LSASSのメモリをダンプし、Outlook Web Access (OWA)を悪用してより深いアクセスを得る。
APT35は、WMI、Ping、nltestなどのツールを使用して、包括的なホスト、ネットワーク、およびアカウントの検出を実行します。
RDP、スケジュールされたタスク、コピーされたツールを使って、ネットワーク全体をピボットする。
電子メールの収集、キーロギング、スクリーンショットのキャプチャ、機密性の高い.PSTファイルとLSASSダンプの収集に重点を置いています。
PowerShell、VBS、および悪意のあるショートカット(LNK)ファイルを使用して、悪意のあるペイロードを実行します。
gzip、RARのようなツール、Telegram APIや Google Driveのようなサービスをデータ流出に使用する。
APT35は、主にスパイ活動に重点を置いているが、BitLockerや DiskCryptorを 使用したデータ暗号化機能を実証しており、一部の活動においてランサムウェアの可能性を示唆している。
主に phishing 、LinkedInやWhatsAppのようなプラットフォーム上でのソーシャルエンジニアリングによって獲得される。標的を欺くために、偽のペルソナや合法的に見えるウェブサイトが使用される。
PowerShellやMimikatzのようなツールを使って、デフォルトアカウントや管理者アカウントを作成したり、有効にしたりして、権限をエスカレートさせる。
このグループは、アンチウイルス、イベントログ、LSA保護を無効にする。また、検知を回避するために、マスカレードや 難読化技術を使用する。
ブラウザやVPNから認証情報を盗み出し、LSASSのメモリをダンプし、Outlook Web Access (OWA)を悪用してより深いアクセスを得る。
APT35は、WMI、Ping、nltestなどのツールを使用して、包括的なホスト、ネットワーク、およびアカウントの検出を実行します。
RDP、スケジュールされたタスク、コピーされたツールを使って、ネットワーク全体をピボットする。
電子メールの収集、キーロギング、スクリーンショットのキャプチャ、機密性の高い.PSTファイルとLSASSダンプの収集に重点を置いています。
PowerShell、VBS、および悪意のあるショートカット(LNK)ファイルを使用して、悪意のあるペイロードを実行します。
gzip、RARのようなツール、Telegram APIや Google Driveのようなサービスをデータ流出に使用する。
APT35は、主にスパイ活動に重点を置いているが、BitLockerや DiskCryptorを 使用したデータ暗号化機能を実証しており、一部の活動においてランサムウェアの可能性を示唆している。
APT35が使用したTTP
Vectra AIでAPT35を検知 方法
Vectra AI Platformで利用可能なAPT攻撃を示す検出のリスト。
よくあるご質問(FAQ)
APT35はどこと提携しているのですか?
APT35はイランのイスラム革命防衛隊(IRGC)と結びついており、その諜報活動の委任を受けて活動している。
APT35は他のイラン人グループと何が違うのですか?
APT35は、深いソーシャルエンジニアリングと 偽のオンラインペルソナを作成することで知られており、多くの場合、悪意のあるペイロードが配信される前に、複数段階の関与が伴います。
初回アクセスのための主な戦術は何か?
phishing 、悪意のある添付ファイル、ドライブバイダウンロード、ソーシャルメディアへのなりすましなどを利用する。
APT35が使用しているmalware ?
注目すべきツールには、PowerWindow、Parastoo RAT、Maelstrom RAT、MediaPl、NICECURL、カスタムAndroidmalwareある。
APT35はどのようにして検知を逃れるのか?
彼らは難読化、暗号化通信、マスカレードを使用し、しばしばグーグル・ドライブのような信頼できるクラウドサービスを悪用する。
ゼロデイや特定のCVEを使うことが知られているか?
CVE-2022-30190(Follina)、ProxyShell、Log4Shell、Fortinet SSL VPNの脆弱性を含む。
組織はどのようにしてAPT35の活動を検知 のか?
PowerShellの異常な実行、LSASSメモリアクセス、非標準ポート経由のRDPセッション、不審なドメインアクセスなどの兆候を探す。
彼らはどのようなC2テクニックを使っているのか?
APT35は、正当な侵害ドメイン、ウェブサービス、SOAP、IRC、暗号化されたHTTPプロキシを使用している。
APT35のphishing どのように軽減できるのか?
メールフィルタリング、添付ファイルスキャン、ユーザートレーニング、URL書き換え/サンドボックスソリューションの導入。
APT35を阻止するのに役立つ検知ツールとは?
ネットワーク検知・応答(NDR)ソリューションは、APT35の手口に対して非常に効果的です。同グループがウェブプロトコルによるコマンド・アンド・コントロール、暗号化されたチャネルの使用、クラウドサービス経由のデータ流出などに依存していることを考えると、NDRプラットフォームは東西およびアウトバウンドのトラフィックに深い可視性を提供します。