イラン拠点の攻撃者が用いる初期アクセスの手法とは

イラン関連の脅威グループは、初期アクセスのために特定の手法を使用する傾向があります。これらの攻撃者は、ソーシャルエンジニアリング、公開されている脆弱性の迅速な悪用、および漏洩した認証情報を利用してのシステム侵入など、費用対効果が高く再現性のある侵入手法を好みます。強力な防御策を構築するには、フィッシング耐性のある多要素認証の導入、脆弱なシステムへの迅速なパッチ適用、異常な認証やリモート管理の使用状況の監視、および IT 環境と OT 環境における脆弱な認証情報やデフォルトの認証情報によるリスクの最小化を通じて、アイデンティティ、電子メール、および境界セキュリティを強化する必要があります。

本記事は、2020 年以降にさまざまな攻撃グループやオペレーションが初期アクセス手法をどのように使用してきたかについての、Counter Threat Unit™ (CTU) による観察に基づいています。脅威グループは、利用可能なあらゆる方法を用いて標的を侵害しようとしますが、さまざまな侵入キャンペーンの基盤となる、彼らが好んで使用するアプローチを以下に挙げます。

フィッシング (T1566)

フィッシングは依然として最も一般的な初期アクセスの手法であり、巧妙に作り込まれたソーシャルエンジニアリングを利用して認証情報の取得やマルウェアの配信を行います。このカテゴリには以下のバリエーションがあります。

• T1566.001 - スピアフィッシング攻撃による添付ファイル: 悪意のあるリンクが埋め込まれた、またはリモートコントロールツールのインストールに誘導する PDF/Office ドキュメントの配信 
• T1566.002 - スピアフィッシングリンク: 一般的なクラウドサービス上でホストされている認証情報収集ページに受信者を誘導する電子メール 
• T1566.003 - サービス経由のスピアフィッシング: LinkedIn、Web メールサービス、クラウドホスト型のドキュメントプロバイダーなどのサードパーティプラットフォームを介して行われるソーシャルエンジニアリング

イラン系脅威グループの主な行動

• 多段階にわたる信頼関係構築のためのやり取り 
• 正規の組織や専門家へのなりすまし 
• 信頼されているクラウドサービス (OneDrive、Google Drive、Onehub、Egnyte、Mega) でのペイロードまたはログイントラップのホスティング 

外部公開アプリケーションの悪用 (T1190)

攻撃者は最初の足掛かりを得るために、境界システムにおいて新たに公開された脆弱性やパッチが適用されていない脆弱性を頻繁に悪用します。代表的な例として、Fortinet FortiOS、Microsoft Exchange ProxyShell、および VMware Horizon/Log4Shell の脆弱性が挙げられます。

• CVE-2018-13379: Fortinet FortiOS の脆弱性 (SSL VPN におけるパストラバーサル)
• CVE-2019-5591: Fortinet FortiOS の脆弱性 (機密情報の傍受)
• CVE-2020-12812: Fortinet FortiOS SSL VPN の脆弱性 (認証バイパス)
• CVE-2021-34473: Microsoft Exchange Server ProxyShell の脆弱性
• CVE-2021-26855: Microsoft Exchange Server ProxyShell の脆弱性 
• CVE-2021-26857: Microsoft Exchange Server ProxyShell の脆弱性
• CVE-2021-26858: Microsoft Exchange Server ProxyShell の脆弱性
• CVE-2021-27065: Microsoft Exchange Server ProxyShell の脆弱性
• CVE-2021-44228: VMware Horizon Log4Shell の脆弱性

一般的な推奨事項として、組織は米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) の既知の悪用された脆弱性カタログ (Known Exploited Vulnerabilities Catalog) に記載されている脆弱性のパッチ適用を優先する必要があります。

イラン系脅威グループの主な行動

• 公開されたエクスプロイトコードの迅速な採用 
• 永続的アクセスのための Web シェルの展開 
• これらの足場を利用した内部ネットワーク深部への侵入

パスワードベースの初期アクセス (T1110.003、T1078.004) 

大規模なパスワードスプレー攻撃が、クラウドアイデンティティプラットフォーム (例: Microsoft 365 / Entra ID) を標的に実行されます。認証に成功すると、電子メール、ファイル、およびユーザーワークロードに直接アクセスできるようになります。

• T1110.003 - パスワードスプレー攻撃: 一般的なパスワードや脆弱なパスワードを使用した大量の認証試行 
• T1078.004 - 有効なアカウント: クラウドアカウント: 侵害された認証情報を使用してクラウドサービスにアクセスし、後続のアクションを実行する 

イラン系脅威グループの主な行動 

• 数千のテナントドメインに対して執拗に攻撃を試みる 
• アカウントへのアクセス直後の探索および常駐化アクションの開始 

リモート監視・管理 (RMM) ツールの悪用 (T1219)

繰り返し見られる戦術として、ScreenConnect、Atera、PDQ、Action1、Syncro、Level、SimpleHelp、Remote Utilities、eHorus、N-Able などの正規 RMM エージェントのインストールに誘導されるフィッシングメールの使用が挙げられます。これらのエージェントは、マルウェアを必要とせずに即座にリモート実行機能を提供します。 

• T1219.002 - リモートデスクトップソフトウェア: コマンドアンドコントロールに使用されるリモートアクセスツール

イラン系脅威グループの主な行動

• RMM 登録のための試用版ライセンスまたは侵害された電子メールアカウントの悪用 
• RMM コンソールを介したリモートスクリプト実行および認証情報のダンプ 

外部リモートサービスの利用 (T1133) 

認証情報の窃取または境界の侵害後、攻撃者は以下の正規リモートアクセスチャネルを介してログインします。 

• VPN ポータル 
• RDP エンドポイント 
• クラウドベースのリモートアクセスインターフェース

イラン系脅威グループの主な行動 

• マルウェアではなく、侵害された認証情報を使用する 
• 正規の管理者のアクセスパターンに同化する 

デフォルトの認証情報または脆弱な認証情報の悪用 (T1078.001、T1078.003) 

一部の侵入は、デフォルトの認証情報、または容易に推測可能な認証情報を使用しているデバイス、特に ICS (産業用制御システム) または OT (オペレーショナルテクノロジー) システムへのアクセスから始まります。2023年、Cyber Av3ngers は、デフォルトの認証情報と脆弱な認証情報を利用して、無防備な状態にあった Unitronics 製 PLC を悪用し、水道およびその他の産業用制御システム (米国の地方水道局を含む) を妨害する政治的サイバー攻撃を実施し、同時に反イスラエル的メッセージを拡散しました。

• T1078.001 - 有効なアカウント: デフォルトアカウント 
• T1078.003 - 有効なアカウント: ローカルアカウント 

イラン系脅威グループの主な行動 

• インターネットに接続されたオペレーショナルシステムの悪用 
• 改ざん、偵察、または妨害への迅速な移行 

結論

イランを拠点とする攻撃者は、標的となるシステムを侵害するためにあらゆる脆弱性や機会を利用しますが、CTU™ による多数の攻撃の分析から、特定の手法が好んで使用されていることが明らかになりました。表 1 は、本記事で説明した手法および関連する MITRE ATT&CK® 識別子を一覧にしたものです。イラン政府の支援を受けた攻撃者によるサイバー脅威に関する追加情報については、CISA が多数の勧告および警告を公開しています。

表 1: イランを拠点とする攻撃者が用いる初期アクセスの手法