本文の内容は、2025年6月23日にMichael Clark が投稿したブログ(https://sysdig.com/blog/sysdig-threat-bulletin-iranian-cyber-threats)を元に日本語に翻訳・再構成した内容となっております。
2025年6月22日の米国によるイランの核インフラへの攻撃を受けて、Sysdig脅威リサーチチーム(TRT)は、2022年2月のロシア・ウクライナ戦争の初めに観察されたものと同様に、イラン政府が支援する高度な持続的脅威(APT)と親イランのハクティビストによるサイバー活動の急増を予測しています。
この速報では、Sysdig TRTが、これらのグループによる潜在的な攻撃への対策を講じるセキュリティチーム向けに、将来を見据えたガイダンス、既知および予測される行動に基づく脅威インテリジェンス、そして検知機能を提供します。また、クラウドおよびLinux環境への攻撃に関与していたとされる、国家支援を受けた主要なイラン系グループと、彼らが一般的に使用するツールや戦術についても取り上げます。
一般的な推奨事項
- すべてのクラウド アカウントに MFA を適用し、異常なログインの検知を有効にします。
- Sysdig の CIEM とコンプライアンスでは、MFA によって保護されていないクラウド アカウントを表示できるため、是正措置を講じることができます。
- ランタイム検知とファイル分析を使用して、公開されているシステム上のWebシェルの兆候を探す
- 次のルールは、Web シェルのアクティビティを明らかにするのに効果的です。
- Web サーバーによって実行された不審なコマンド (Sysdig Runtime Notable Events)
- 信頼できないシェルの実行 (Sysdig Runtime Notable Events)
- リバースシェルを検知(Sysdig Runtime Threat Detection)
- 次のルールは、Web シェルのアクティビティを明らかにするのに効果的です。
- 外部にさらされているアプライアンス(例:Ivanti、Netscaler、Pulse Secure など)には必ずパッチを適用し、被害範囲を限定するためのアクセス制御を施す
- Sysdig Risks and Inventoryは、インターネットに公開され、脆弱性のあるシステムを表示します。
- 不正なオープンソース セキュリティ ツールの使用に関するワークロードを監視する
- 以下が有効になっていることを確認します。
- 攻撃的なセキュリティツールを検知 (Sysdig Runtime Threat Detection)
- 攻撃的なセキュリティツールがクラウドインスタンスメタデータサービスにアクセス (Sysdig Runtime Notable Events)
- 攻撃的なセキュリティツールドメインの DNS ルックアップが検知 (Sysdig Runtime Threat Intelligence)
- コンテナ内で疑わしいネットワークツールが起動(Sysdig Runtime Notable Events)
- ホストで疑わしいネットワークツールが起動 (Sysdig Runtime Notable Events)
- 以下が有効になっていることを確認します。
- IPまたはDNS監視により、既知のトンネリング/プロキシWebサイトへの接続を検知する
- Sysdig Runtime Threat Intelligence ポリシーを有効にする
- これらのグループが使用する一般的なペイロードにはランサムウェアやディスクワイパーが含まれるため、バックアップが正常に動作していることを確認する
- 悪意のあるハッシュとYaraルールを使用するマルウェア検知ポリシーを有効にする
イランの主な脅威アクター
イランの APT の包括的なリストではありませんが、クラウドや Linux ベースのインフラストラクチャーを標的とすることが多いグループの具体的な例を以下に示します。
APT35 / Charming Kitten / Phosphorus
APT35は、2014年から活動しているイラン政府が支援するグループです。米国、欧州、中東の軍、外交、政府関係者のほか、研究者、メディア、エネルギー、防衛関連請負業者を標的にしていることが知られています。
- クラウドアカウントの侵害: APT35は、フィッシング、パスワードスプレー、トークン窃取といった手法を用いて、Microsoft 365、Gmail、クラウドVPNポータルから認証情報を窃取することに特化しています。マイクロソフトは、このグループが窃取した認証情報とパスワードスプレーの戦術を用いて、250以上のOffice 365テナントを標的にしていることを確認済みです。
- クラウド メールを盗み出すための Hyperscrape: APT35 は、被害者の Gmail および Microsoft アカウントにログインしてメールを密かに盗み出すように設計された Hyperscrape というツールを開発しました。
- PowerLess および BellaCiao マルウェア: APT35 は、PowerLess (powershell.exe を呼び出さずに実行される PowerShell バックドア) と BellaCiao (被害者の位置情報に基づいてカスタマイズされたインプラントを配信するドロッパー) を開発しました。
- クラウド インフラストラクチャーを介したトンネリング: APT35 は、高速リバース プロキシ (FRP) を活用して、Azure や VPS プロバイダーなどのクラウド サービスを含む、攻撃者が制御するインフラストラクチャーを介して RDP および C2 トラフィックをトンネリングし、ファイアウォールをバイパスして永続性を維持します。
- Linuxエクスプロイト: APT35は、Apacheサーバー、Exchange、VPNアプライアンス(Linux上で稼働するものも含む)におけるLog4jなどの脆弱性を悪用しています(例:Fortinet、Zimbraなど)。これらのマルウェアは通常Windowsベースですが、初期アクセス手法ではリバースシェルや認証情報収集を用いてLinuxクラウドサービスに影響を及ぼす可能性があります。
リソース:
- https://www.cybereason.com/blog/research/powerless-trojan-iranian-apt-phospharus-adds-new-powershell-backdoor-for-espionage
- https://www.bitdefender.com/en-us/blog/businessinsights/unpacking-bellaciao-a-closer-look-at-irans-latest-malware
- https://www.avertium.com/resources/threat-reports/in-depth-look-at-apt35-aka-charming-kitten
- https://blog.google/threat-analysis-group/new-iranian-apt-data-extraction-tool/
APT33 / Peach Sandstorm / Refined Kitten
APT33は、2013年から活動しているイラン政府の支援を受けたグループです。米国、サウジアラビア、韓国を標的としていることが知られています。特に航空業界と石油業界を標的としています。
- クラウドファースト侵入: APT33は、Azure Active Directory (AAD)とAzureサブスクリプションをC2インフラストラクチャーとして利用しています。APT33が開発したマルウェア「Tickler」は、攻撃者が管理するAzureリソースと通信することが確認されました。
- パスワード スプレーによる資格情報アクセス: APT33 は、侵害後の偵察にTOR 出口ノードと、 RoadtoolsやAzureHoundなどのオープン ソース ツールを使用して、Microsoft 365 および AAD テナントに対して大規模なパスワード スプレー キャンペーンを実行します。
- Azure リソース: APT33 は、正当なクラウド アクティビティに紛れ込むために悪意のある Azure インフラストラクチャー (C2 サーバーやビーコン エンドポイントなど) を作成および操作していることが確認されています。
- 間接的な Linux ターゲット: APT33 のマルウェアは通常 Windows 上で実行されますが、その活動は Linux ベースの Azure VM、VPN アプライアンス、クラウド Web サービスなど、クラウド環境内の Linux ホスト サービスに頻繁に影響を及ぼします。
- ソーシャルエンジニアリング: APT33はLinkedInのプロフィールを利用して標的を騙し、認証情報を共有させます。これらのフィッシング攻撃により、クラウドIAMポータル、GitHub、またはSSH経由でアクセスされたLinuxサーバーへのアクセスが可能になります。
リソース:
- https://attack.mitre.org/groups/G0064/
- https://www.microsoft.com/en-us/security/blog/2023/09/14/peach-sandstorm-password-spray-campaigns-enable-intelligence-collection-at-high-value-targets/
- https://www.microsoft.com/en-us/security/blog/2024/08/28/peach-sandstorm-deploys-new-custom-tickler-malware-in-long-running-intelligence-gathering-operations/
Pioneer Kitten / Lemon Sandstorm / RUBIDIUM
Pioneer Kitten は、イラン政府と関係のあるイランを拠点とするサイバーグループで、2017年からサイバー作戦を行っています。彼らはランサムウェア集団と連携し、米国、イスラエル、UAE、アゼルバイジャンの教育、金融、医療、防衛関連企業、政府機関を標的にしています。
- ランサムウェアの初期アクセスブローカー: Pioneer Kitten はイランと連携した APT グループであり、VPN およびネットワークデバイスの脆弱性 (Citrix Netscaler、F5 BIG-IP、Pulse Secure など) を悪用して初期アクセスを取得し、Web シェルを介して永続性を維持し、そのアクセスを BlackCat/ALPHV、NoEscape、Ransomhouse などのランサムウェアアフィリエイトに販売します。
- Webシェルによる永続性: Pioneer Kittenは、再起動やアップデート後も生き残るために、深く埋め込まれたWebシェル(/var/vpn/themes/imgs/などに潜伏するなど)を使用することで知られています。悪意のあるバイナリを回避し、代わりにファイルレスまたはインラインbashコマンド実行を使用することで、検知を逃れています。
- 既製のツールセット:このグループは、Linux およびクラウド システム全体で、living-off-the-land ツール (ligolo、socat、proxychains など) とポストエクスプロイト フレームワーク (Havoc、MeshCentral、カスタム C2 バイナリなど) を組み合わせて使用します。
- ランサムウェアとスパイ活動のワークフロー: Pioneer Kittenは侵入後、SSHトンネル、プロキシツール(ngrok、ligoloなど)、またはセキュリティ侵害したLinuxシステムを頻繁に利用してWindowsシステムやクラウドシステムにアクセスします。これらの足掛かりは、アクセスの販売(selling access)やランサムウェアの実行を可能にします。