イランのAPT34がサプライチェーン攻撃でUAEを襲う

APT34 として知られるイラン関連の高度で持続的な脅威が再び攻撃を仕掛けており、今回はアラブ首長国連邦 (U​​AE) 内の政府目標へのアクセスを獲得することを最終目標としてサプライ チェーン攻撃を仕掛けています。

カスペルスキーの EEMEA リサーチ センターの主任セキュリティ研究者であるマヘル ヤモウト氏は、攻撃者はおとりとして悪意のある IT 求人フォームを使用したと述べています。 APT34 (別名 OilRig) は、アラブ首長国連邦の IT 企業を装った偽の Web サイトを作成し、ターゲットの IT 企業に求人フォームを送信し、被害者が宣伝されている IT の仕事に応募するために悪意のある文書を開くと、情報を盗むマルウェアが侵入します。実行されました。

Yamout氏によると、このマルウェアは機密情報と資格情報を収集し、APT34がIT企業の顧客ネットワークにアクセスできるようにしたという。 同氏は、攻撃者はその後、被害者の IT グループの電子メール インフラストラクチャをコマンド アンド コントロール (C2) 通信とデータ漏洩に使用して、特に政府の顧客をターゲットにしようとしたと説明しています。 カスペルスキーは、ダウンストリームの可視性が限られていたため、政府による攻撃が成功したかどうかを検証できなかったが、グループの典型的な成功率を考慮すると、政府による攻撃が成功したと「中程度から高い確信度で評価している」とヤモウト氏は言う。

カスペルスキーの調査によると、UAE のキャンペーンで使用されたマルウェア サンプルは、政府機関を標的にするなど、同様の戦術、技術、手順 (TTP) を使用したヨルダンでの以前の APT34 サプライ チェーン侵入で使用されたものに似ていました。 この例では、IT 企業の採用活動を装って求人フォームを配信するために LinkedIn が使用されたのではないかとヤモウト氏は述べています。

人材採用担当者の策略は、北朝鮮の Lazarus グループや軍の採用担当者を装ったサイバー攻撃者を含む、長年にわたり多数のサイバー攻撃組織によって使用されてきた戦術です。

APT34 は、主に中東で活動しているイランの脅威グループで、この地域のさまざまな業界の組織を標的としています。 これはこれまで、今年初めのUAEへの攻撃など、他のサイバー監視活動との関連が指摘されていた。

多くの場合、サプライ チェーン攻撃を実行します。この場合、脅威グループは組織間の信頼関係を利用して主なターゲットを攻撃し、戦略的目的のために慎重に選択されたと思われる特定の組織を体系的にターゲットにします。

Mandiant の調査によると、APT34 は少なくとも 2014 年から運用されており、公開ツールと非公開ツールを組み合わせて使用​​し、侵害されたアカウントを使用してスピア フィッシング操作を実行することが多く、場合によってはソーシャル エンジニアリング戦術と組み合わせられます。

マンディアント氏は報告書の中で、「イランへの言及を含むインフラストラクチャーの詳細、イランのインフラの使用、国民国家の利益に沿った標的設定に基づいて、APT34がイラン政府に代わって機能していると評価している」と述べた。 これはAPT34の活動を巡り昨年イランを制裁した米国政府も共通の評価だ。