TA435は現在、実在のメールアカウント、マルウェア、挑発的な仕掛けなど、より積極的な戦術を用いて主要アカウントへのアクセスを獲得しています。この脅威アクターは、サイバースパイ活動を目的として、知名度が高くセキュリティレベルの高いアカウントを標的にしています。
ジャンプ先:
- TA453って誰ですか?
- TA453の手法の転換
- TA453のこれまで知られていた手口
- この脅威から身を守る方法
TA453って誰ですか?
TA453は、イランの国家支援を受けたサイバースパイ活動を行う脅威アクターです。Proofpointによると、TA453は中東地域に精通した学者、研究者、外交官、反体制活動家、ジャーナリスト、人権活動家をほぼ常に標的としていることで知られています。
TA453 は、サイバースパイ活動グループである Charming Kitten、Phosphorus、APT42 と重複しています。
標的への攻撃に最もよく用いられる手法は、メールにウェブビーコンを仕込み、最終的に標的の認証情報を入手しようとするものです。また、マルチペルソナ・インパーソネーション(複数人物のなりすまし)も活用します。これは、攻撃者が管理する2つのなりすましアカウントを用いて、単一のメールスレッドで被害者とやり取りするソーシャルエンジニアリングの手法です。複数のペルソナは、標的に攻撃の正当性を納得させようとします。
Proofpoint は現在、TA453 の 6 つのサブグループを追跡しており、これらは被害者、インフラストラクチャと戦術、技術、手順によって分類されています。
研究者らは、PwCと司法省による2018年の起訴状での調査、および報告されているIRGC-IOの活動と比較したTA453の標的分析に基づき、TA453は一般にイラン・イスラム革命防衛隊の諜報活動のために活動していると評価している。
プルーフポイントは、「より攻撃的な活動は、IRGCのコッズ部隊を含むイラン国家の他の部門との協力関係を反映している可能性がある」と述べた。
TA453の手法の転換
ターゲットに到達するために使用された電子メールアカウント
攻撃者が作成したメールアカウントを、脅威アクターが実際に侵害したアカウントに置き換えることがあります。これは、未知のメールアドレスではなく既知のメールアドレスから送信されたため、コンテンツがより正当なものに見えるという効果があります。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
この手法はTA453脅威アクターのサブグループによって使用されており、bnt2[.]liveやnco2[.]liveといった通常とは異なるURL短縮サービスと組み合わせて利用されています。Proofpointによると、2021年にはTA453が現地記者のメールアドレスを使って米国の報道官に連絡を取った事例がありました。
マルウェアの使用
GhostEchoマルウェアは、開発中の軽量PowerShellバックドアで、追加モジュールの実行や攻撃者が管理するC2サーバーとの通信が可能で、2021年にテヘラン各地の様々な外交使節団を標的に、同国の女性権利擁護者を標的にするのに使用されました。ペイロードは発見当時、研究者には入手できませんでした。
対立的なルアー
サマンサ・ウルフは、TA453によって作成されたペルソナで、対決的なソーシャルエンジニアリングのルアーとして利用されます。標的の恐怖と不安を煽り、攻撃者が送信するメールに反応させるのが目的です。
サマンサ・ウルフは、米国とヨーロッパの政治家や政府機関をターゲットに、一般的な苦情や自動車事故などのテーマを使用しました(図 A)。
図A
サマンサ・ウルフが送信した文書には、悪意のあるファイルをダウンロードするためのリモートテンプレートインジェクションが含まれており、GhostEcho感染を引き起こしました。攻撃者は、ユーザーの以前のデフォルトのMicrosoft Wordテンプレートを置き換えるという手法を用いました。
さらに積極的な活動
2022年5月、Proofpointは、複数のメールアカウントを侵害された軍高官を標的とした攻撃を発見しました。標的となった人物はイスラエル軍の元隊員でした。前述の通り、TA453がこのような攻撃に複数のメールアカウントを侵害して利用することは異例です。
この攻撃的なメッセージはヘブライ語で書かれており (図 B)、ファイル名には人物のファーストネームが使用されていました。
図B
文章は大まかに訳すとこうです。「友達から届くメールは、全部私から送られたものかもしれない、と私が言ったのを覚えているでしょう。テルアビブでも、(編集された大学名)でも、ドバイでも、バーレーンでも、私たちはあなたの影のようにあなたについていきます。どうぞお体にお気をつけて。」
Proofpoint によれば、この脅迫戦術は TA453 と敵対的なイラン国家連携作戦との協力関係を示唆するものでもある。
この事件と別の事件を結びつけるインフラの重複も、研究の結論の正当性を高めている。2022年5月、イスラエルの研究者は、著名な学者のなりすましメールアドレスから、対象者を誘拐するために会議に招待するメールを受け取った。
TA453 の異常な運用は、TTP が常に進化していることを示しており、敵対的な運用や運動的な運用をサポートする可能性もあります。
TA435のこれまで知られていた手口
TA453は通常、自ら作成したメールアカウントを使って標的に近づき、無害な会話を通じて接触を開始しますが、一部のサブグループは、認証情報収集用のリンクを直接標的に送り込むこともあります。やり取りの長さに関わらず、その目的は常に、フィッシングリンクを介して標的のメールにアクセスすることです。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
この手法は、攻撃者の主な関心が、標的のコンピュータにマルウェアを感染させてファイルやフォルダにアクセスしようとすることではなく、メールの内容を読むことにあることを示唆しています。また、この手法はセキュリティ対策製品から警告が出にくいため、よりステルス性が高くなっています。このインフラ上にホストされているフィッシングページは広く拡散されることがなく、そのためほとんど報告されていません。
この脅威から身を守る方法
ユーザーは、たとえ検証済みで信頼できるメール アドレスから送信されたメールであっても、侵害される可能性があるため、メールの内容を開くときは注意する必要があります。
メールの内容は読者に警戒心を抱かせるものでなければなりません。送信者がこれまで使用したことのないフォーム、スペルミス、言葉遣いや語彙の変化など、メールが偽物であることを示す兆候に注意してください。疑わしい場合は、別の方法で送信者に連絡を取り、メールの正当性を確認する必要があります。
ユーザーは、カンファレンスへの招待状を必ず二重に確認し、主催者の公式ウェブサイトから直接連絡を取るようにしてください。疑わしいリンクは絶対にクリックしないでください。フィッシング詐欺の可能性があるため、IT部門またはCERT/SOCチームにリンクを報告し、調査を依頼してください。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
