APT42
APT42は、少なくとも2015年から活動しているイラン国家に支援されたサイバースパイグループで、スピアフィッシング、モバイル監視、認証情報の窃盗を通じて世界中の個人や組織を標的にしていることで知られている。
APT42の起源
APT42は、イランの国家が支援するサイバースパイ集団で、少なくとも2015年から活動している。イランのイスラム革命防衛隊(IRGC)に代わって情報収集活動を行うことを主な任務としており、戦略的に関心のある個人や団体の監視に重点を置いている。APT42の活動は、一部のベンダーによって「Magic Hound」と関連付けられているが、この2つのグループは、振る舞い ソフトウェアの違いから別物と考えられている。APT42は、長期的なスパイ活動を支援するために、カスタマイズされたスピアフィッシング・キャンペーン、モバイル監視malware、およびクレデンシャル・ハーベスティング・インフラストラクチャを使用することで知られています。
APT42の標的国
APT42の活動は中東以外にも及んでおり、米国、英国、イスラエル、イラク、サウジアラビア、ドイツ、オーストラリア、アルバニア、そしてイランそのものを標的としている。同グループの活動は、外国の敵対勢力と国内の反体制派住民の両方に戦略的な焦点を絞っていることを反映している。
APT42が標的とする産業
APT42は、学術機関、石油・ガス、防衛請負業者、国軍組織、NGO、シンクタンク、金融サービス、政府機関、テクノロジー部門、メディア、航空宇宙、ヘルスケア、エネルギー、製薬業界など、幅広い分野を標的としている。その焦点は概して、イランの地政学的および国内諜報活動の優先事項と一致している。
APT42の犠牲者
被害者のプロファイルには、政府高官、ジャーナリスト、人権活動家、学者、政治的反体制派などがよく含まれます。APT42は、ジャーナリストや合法的な機関になりすまし、phishing 細工を施すことがよくあります。Microsoft 365環境からのクレデンシャルの窃取や、PINEFLOWERのようなAndroidmalware 使用したモバイルデバイスの監視などが行われています。
APT42の攻撃手法
APT42は、悪意のあるリンクを含むスピアフィッシングメールから攻撃を開始したり、PINEFLOWERのようなAndroidmalware モバイルターゲットに配信したりします。これらの電子メールは、既知の連絡先や評判の良い機関になりすますことがよくあります。
APT42は、PowerShellスクリプト(POWERPOSTなど)を使用して特権を昇格させ、機密アカウント情報にアクセスします。
レジストリの変更、ログやブラウザ履歴の消去などのアンチフォレンジック技術、および(VPNソフトウェアとしてのVINETHORNのような)仮装ペイロードを利用して、検出を回避する。
APT42は、ウェブブラウザの抽出、キーロギング、偽のログインページを使用した多要素認証(MFA)トークンの傍受により、認証情報を盗み出します。
このグループは、Windows Management Instrumentation(WMI)とmalware (GHAMBAR、POWERPOST)を使用して、セキュリティソフトウェア、システム構成、ネットワーク設定を調査する。
横方向への移動の具体的な内容はそれほど詳しくはないが、インフラの獲得と指揮統制の確立は、いったんアクセスが可能になれば、ネットワーク内で旋回する努力を意味する。
APT42は、システムのスクリーンショット、ブラウザのセッションクッキー、マイクロソフト365の文書、キーログを収集し、政治的または戦略的に機密性の高いものに焦点を当てている。
このグループは、PowerShell、VBScript、スケジュールされたタスク、悪意のあるWebリンクを使用してスクリプトやmalware 実行します。
データの流出は、NICECURLのようなツールを使って暗号化されたHTTPSチャネル上で実行される。また、トラフィックを隠すためにBase64エンコーディングと匿名化されたインフラを使用する。
APT42の活動は、破壊や妨害よりも長期的な情報収集に重点を置いている。彼らの影響は、監視、データ窃盗、地政学的情報収集にある。
APT42は、悪意のあるリンクを含むスピアフィッシングメールから攻撃を開始したり、PINEFLOWERのようなAndroidmalware モバイルターゲットに配信したりします。これらの電子メールは、既知の連絡先や評判の良い機関になりすますことがよくあります。
APT42は、PowerShellスクリプト(POWERPOSTなど)を使用して特権を昇格させ、機密アカウント情報にアクセスします。
レジストリの変更、ログやブラウザ履歴の消去などのアンチフォレンジック技術、および(VPNソフトウェアとしてのVINETHORNのような)仮装ペイロードを利用して、検出を回避する。
APT42は、ウェブブラウザの抽出、キーロギング、偽のログインページを使用した多要素認証(MFA)トークンの傍受により、認証情報を盗み出します。
このグループは、Windows Management Instrumentation(WMI)とmalware (GHAMBAR、POWERPOST)を使用して、セキュリティソフトウェア、システム構成、ネットワーク設定を調査する。
横方向への移動の具体的な内容はそれほど詳しくはないが、インフラの獲得と指揮統制の確立は、いったんアクセスが可能になれば、ネットワーク内で旋回する努力を意味する。
APT42は、システムのスクリーンショット、ブラウザのセッションクッキー、マイクロソフト365の文書、キーログを収集し、政治的または戦略的に機密性の高いものに焦点を当てている。
このグループは、PowerShell、VBScript、スケジュールされたタスク、悪意のあるWebリンクを使用してスクリプトやmalware 実行します。
データの流出は、NICECURLのようなツールを使って暗号化されたHTTPSチャネル上で実行される。また、トラフィックを隠すためにBase64エンコーディングと匿名化されたインフラを使用する。
APT42の活動は、破壊や妨害よりも長期的な情報収集に重点を置いている。彼らの影響は、監視、データ窃盗、地政学的情報収集にある。
APT42が使用したTTP
Vectra AIでAPT42を検知 する方法
よくあるご質問(FAQ)
APT42のスポンサーは?
APT42はイラン政府、特にイスラム革命防衛隊(IRGC)がスポンサーになっていると考えられている。
APT42はマジックハウンドと何が違うのですか?
malware 行動には重複があるが、標的、ツール、テクニックの違いに基づいて別々に追跡されている。
APT42はどのようにして最初のアクセスを得るのか?
彼らは、悪意のあるリンクやAndroidmalware 含むスピアフィッシングメールに依存して、デバイスを侵害し、認証情報を盗む。
APT42はどのようなmalware いるのか?
一般的なmalware 、PINEFLOWER(Android)、POWERPOST、GHAMBAR、VINETHORN(VPNアプリに偽装)などがあります。
感染したシステム上でどのように持続性を維持するのか?
APT42は、レジストリの変更、スケジュールされたタスク、およびmalware 自動起動のテクニックを使用します。
彼らはクラウドプラットフォームのために盗んだ認証情報を使っているのだろうか?
そう、APT42は特にMicrosoft 365環境をターゲットにしており、ドキュメントやセッション・トークンを収集している。
どうやって発覚を避けるのか?
彼らは暗号化されたHTTPSトラフィック(NICECURL)を使用し、ツールを偽装し、ブラウザ履歴のようなフォレンジック痕跡を消去する。
APT42にはどのような検知技術が有効か?
振る舞い監視(PowerShell/VBScriptによるスクリプト実行など)、DNSやTLSトラフィックの検査、MFAトークンの分析が、APT42の活動を検知 のに役立つ。
APT42は破壊的か?
いいえ、APT42は主にスパイ活動、情報収集、監視に重点を置いています。通常、ランサムウェアやワイパーを展開することはありません。
組織はどのようにAPT42を防御できるのか?
phishingMFAを導入し、Microsoft 365の異常なアクティビティを監視し、PowerShellの使用を制限し、スクリプトベースの攻撃やキーロギング活動を検知 できるNDRソリューションを導入する。