APT42の手口

APT42は、西側と中東のNGO、メディア組織、学界、法務機関、活動家をターゲットにするAPTです。
2015年から、その活動があることが観測されています。
時間の経過とともに、その手法が変化してきています。
最近のAPT42の手口を見てみましょう。

• ペルソナの作成
  まずはペルソナを作成します。
  今回のペルソナは、ジャーナリストやイベント主催者です。
  いくつかのパターンがわかっています。
  報道機関やNGOを装う、正規のサービスを装う、Mailer Daemonを装う、という感じです。

   

• メールの送信
  作成したペルソナでターゲットにメールを送ります。
  ターゲットが興味を持つ可能性の想定できるイベントや会議に招待するような内容になっています。

   

• 資格情報の収集
  何度かのやり取りの後、脅威アクターは資格情報の収集の段階に進みます。
  タイポスクワッティングなどの手法を使い、認証画面に誘導します。
  たとえば、その認証画面は、Microsoft 365に見えるログインページです。
  そして、SharePointのログインのようなものの場合もありますし、LinkedInのログインのようなものの場合もあります。

   

• 多要素認証の回避
  単にユーザ名とパスワードを入手するだけでは、多要素認証を乗り越えることはできません。
  しかし、APT42の活動では、これを回避する手法が使われています。
  多要素認証の回避手法が、少なくとも2種確認されています。

   

• NICECURL
  NICECURLはバックドア型マルウェアです。
  APT42の活動の中でNICECURLが流し込まれる場合があります。
  データマイニングや任意のコマンドの実行などを実行することのできる追加モジュールをダウンロードできるVBScriptで記述されたバックドアです。

   

• TAMECAT
  TAMECATもバックドア型マルウェアです。
  APT42の活動の中で、TAMECATが流し込まれる場合があります。
  任意のPowerShellまたはC#のスクリプトを実行できるPowerShell環境です。

攻撃の怪しさはだんだん少なくなってきています。
一見するだけでは、正規のイベントの案内なのか、そうでないのか、わからないものとなってきています。
しかし、現時点では、これらの活動の中では脆弱性を悪用するのではなく、被害者自身にマクロ実行を許可させる流れで脅威の実現を迫ってきます。
通常の活動の中で、マクロ実行を他の人の指示で有効にすることが必要になるケースはあるでしょうか？
まだ注意することができるようにも思えます。

参考記事（外部リンク）：Uncharmed: Untangling Iran’s APT42 Operations
cloud.google.com/blog/topics/threat-intelligence/untangling-iran-apt42-operations?hl=en