サイバーニュース.jp

世界のサイバーなニュースを配信

APT35ハッカー、政府・軍事機関を標的にログイン情報を窃取

カテゴリ:

, , , , , , , , ,

概要

イランに関連する高度な持続的脅威グループAPT35(別名Mint Sandstorm、Charming Kitten、Educated Manticore)が、政府および軍事機関を標的とした継続的なログイン情報窃取活動を展開していることが明らかになりました。Stormshield CTIの研究者たちは、APT35に関連する2つの活動中のフィッシングサーバーを特定し、その脅威の実態を明らかにしています。

APT35の新たなフィッシングサーバー

Stormshieldのサイバー脅威インテリジェンス(CTI)チームは、脅威ハンティング活動中に、APT35のインフラの特徴を示す2つの悪意あるサーバーを発見しました。これらのサーバーは、Check Pointが以前に文書化したフットプリントと一致しており、米国、中東、ヨーロッパの政府、軍事、学術、メディア組織からログイン情報を収集するためのフィッシングページをホストしています。

調査は、Check PointのAPT35に関する最近の報告書で注目されたHTMLページから始まりました。このページは、4つの色付きのドットを表示し、異なるドメインの様々なパスから同一のJavaScriptおよびCSSファイルをロードするというユニークな構造を持っています。Stormshieldのアナリストは、この構造を利用してSilentPush脅威ハンティングプラットフォーム上で`html_body_ssdeep`クエリを作成し、同様に構成されたページをインターネット上で迅速に特定しました。

特定されたサーバーとドメイン

作成されたクエリを使用し、CTIチームはCheck Pointによって以前に報告されたIPv4アドレス45.143.166[.]230および195.66.213[.]132に関連する8つの合致を発見しました。さらに、これまで文書化されていなかった2つのIPアドレスが浮上しました。

  • 84.200.193[.]20 (AS214036 Ultahost, Inc.): 2025年7月初旬から中旬にかけて解決されたドメインのほとんどが、現在では`rohan63[.]xyz`のみがアクティブです。
  • 79.132.131[.]184 (AS39378 SERVINGA): 49の「.online」ドメインをホストしており、これらはすべて現在も解決されています。多くは`meet.go0gle[.]online`や`meet.video-connect[.]online`のようなビデオ会議サービスを偽装しています。最新の登録である`proof-video[.]online`は、2025年9月20日に稼働しました。

これらのドメインは、正規の政府または軍事コラボレーションツールを装ったログイン情報フィッシングのフロントエンドとして機能します。Googleの脅威アナリストによると、ビデオ会議のテーマは2023年以降、APT35のフィッシング戦術の中心となっています。

さらなる調査により、URLクエリパラメータに埋め込まれた追跡行動が明らかになりました。「entity:url url:online/?invitation」のVirusTotal検索では、2025年7月から9月の間にスウェーデンとイスラエルから提出された複数のURLが、「invitation-<token>」パターンに従っていることが判明しました。「entity:domain domain:viliam.*」を使用したサブドメイン列挙では、112の「viliam.」サブドメインが返され、このキャンペーンに関連する新たなフィッシングサイトを発見する効果的な方法となっています。

緩和策と検出方法

これらのサーバーとサブドメインパターンの持続性は、APT35が機密性の高いセクターでのログイン情報窃取に引き続き注力していることを示しています。彼らの予測可能なHTMLテンプレートとサブドメイン命名規則への依存は、防御側にとって信頼性の高い検出アプローチを提供します。

  • テンプレートフィンガープリンティング: インターネットスキャンプラットフォーム全体で、特徴的な4つのドットHTMLページをクエリします。
  • サブドメインパターン監視: 疑わしいIPv4に解決される新しい「viliam.」プレフィックスドメインを監視します。
  • フィッシングURLパラメータ検索: VirusTotalを介して、「.online」ドメイン上の「?invitation-」クエリ文字列を追跡します。

Stormshieldは、特定されたすべての指標をセキュリティ製品でプロアクティブにブロックし、顧客をこれらのフィッシングインフラから保護しています。政府および軍事のセキュリティチームは、これらのハンティング技術を脅威インテリジェンスプロセスに統合し、新たなAPT35資産がログイン情報を収集する前に検出および無効化する必要があります。

侵害指標 (Indicators of Compromise)

  • 79.132.131[.]184 (IPV4) – フィッシングドメインをホストするIPv4
  • 84.200.193[.]20 (IPV4) – フィッシングドメインをホストするIPv4
  • viliam-live-identity[.]online (Domain) – フィッシングドメイン
  • viliam.viliam-live-identity[.]online (Domain) – フィッシングドメイン
  • proof-video[.]online (Domain) – フィッシングドメイン
  • look-together-online[.]online (Domain) – フィッシングドメイン
  • meet.proof-video[.]online (Domain) – フィッシングドメイン
  • www.look-together-online[.]online (Domain) – フィッシングドメイン
  • viliam.look-together-online[.]online (Domain) – フィッシングドメイン
  • www.video-connect[.]online (Domain) – フィッシングドメイン
  • meet.video-connect[.]online (Domain) – フィッシングドメイン
  • video-connect[.]online (Domain) – フィッシングドメイン
  • www.go0gle[.]online (Domain) – フィッシングドメイン
  • meet.go0gle[.]online (Domain) – フィッシングドメイン
  • go0gle[.]online (Domain) – フィッシングドメイン
  • tensore[.]online (Domain) – フィッシングドメイン
  • ell-safe[.]online (Domain) – フィッシングドメイン
  • azdava[.]online (Domain) – フィッシングドメイン
  • meet.azdava[.]online (Domain) – フィッシングドメイン
  • meet.ell-safe[.]online (Domain) – フィッシングドメイン
  • viliam.azdava[.]online (Domain) – フィッシングドメイン
  • viliam.tensore[.]online (Domain) – フィッシングドメイン
  • viliam.teslator[.]online (Domain) – フィッシングドメイン
  • teslator[.]online (Domain) – フィッシングドメイン
  • viliam.kuret-live[.]online (Domain) – フィッシングドメイン
  • kuret-live[.]online (Domain) – フィッシングドメイン
  • book.kuret-live[.]online (Domain) – フィッシングドメイン
  • viliam.safe-lord[.]online (Domain) – フィッシングドメイン
  • safe-lord[.]online (Domain) – フィッシングドメイン
  • www.p-safe[.]online (Domain) – フィッシングドメイン
  • viliam.p-safe[.]online (Domain) – フィッシングドメイン
  • p-safe[.]online (Domain) – フィッシングドメイン
  • into-support[.]online (Domain) – フィッシングドメイン
  • villiam[.]online-speak[.]online (Domain) – フィッシングドメイン
  • viliam[.]online-speak[.]online (Domain) – フィッシングドメイン
  • online-speak[.]online (Domain) – フィッシングドメイン
  • viliam.into-support[.]online (Domain) – フィッシングドメイン
  • viliam.alpha-met[.]online (Domain) – フィッシングドメイン
  • alpha-met[.]online (Domain) – フィッシングドメイン
  • viliam.kuret-met[.]online (Domain) – フィッシングドメイン
  • viliam.live-board[.]online (Domain) – フィッシングドメイン
  • live-board[.]online (Domain) – フィッシングドメイン
  • www.owner-rate[.]online (Domain) – フィッシングドメイン
  • viliam.owner-rate[.]online (Domain) – フィッシングドメイン
  • owner-rate[.]online (Domain) – フィッシングドメイン
  • viliam.alpha-meet[.]online (Domain) – フィッシングドメイン
  • alpha-meet[.]online (Domain) – フィッシングドメイン
  • arcanet[.]online (Domain) – フィッシングドメイン
  • viliam.arcanet[.]online (Domain) – フィッシングドメイン
  • viliam.cppsg[.]online (Domain) – フィッシングドメイン
  • cppsg[.]online (Domain) – フィッシングドメイン
  • rohand63[.]xyz (Domain) – フィッシングドメイン
  • www.rohand63[.]xyz (Domain) – フィッシングドメイン
  • viliam.rohand63[.]xyz (Domain) – フィッシングドメイン
  • robinthing123[.]online (Domain) – フィッシングドメイン
  • viliam.robinthing123[.]online (Domain) – フィッシングドメイン
  • viliam.superlite[.]online (Domain) – フィッシングドメイン
  • superlite[.]online (Domain) – フィッシングドメイン
  • dmn-inter[.]online (Domain) – フィッシングドメイン
  • viliam.dmn-inter[.]online (Domain) – フィッシングドメイン
  • www.toolfare[.]online (Domain) – フィッシングドメイン
  • viliam.toolfare[.]online (Domain) – フィッシングドメイン
  • toolfare[.]online (Domain) – フィッシングドメイン
  • oranus.besatoo[.]online (Domain) – フィッシングドメイン
  • viliam.besatoo[.]online (Domain) – フィッシングドメイン
  • mickel.besatoo[.]online (Domain) – フィッシングドメイン
  • live.besatoo[.]online (Domain) – フィッシングドメイン
  • besatoo[.]online (Domain) – フィッシングドメイン

結論

APT35のフィッシングキャンペーンは、Check Pointの報告書以降も活発であり、その戦術は単純ながら予測可能です。しかし、そのインフラの予測可能性は、防御側が悪意あるドメインを迅速に特定し無力化するために活用できます。ビデオ会議をテーマにしたフィッシング、「viliam.」サブドメイン、および「invitation」URLクエリを監視することで、セキュリティチームはAPT35のログイン情報窃取の試みを先読みし、重要なログイン情報を敵対者の手に渡るのを防ぐことができます。

元記事: https://gbhackers.com/

投稿をさらに読み込む