イラン政府が支援するAPT42ハッカーグループが政府、NGO、政府間組織を標的に認証情報を収集

サイバーセキュリティの分野では、警戒が最も重要です。Google Cloud の Mandiant による最近の暴露により、イランのイスラム革命防衛隊 (IRGC) に代わって活動していると考えられている、国家支援のサイバースパイ集団 APT42 の悪質な活動が明らかになりました。少なくとも 2015 年にまで遡る歴史を持つ APT42 は、NGO、政府機関、政府間組織など、さまざまな組織を標的とする重大な脅威として浮上しています。

Calanque や UNC788 など、さまざまな別名で活動する APT42 の手口は、非常に巧妙で、懸念すべきものです。ソーシャル エンジニアリングの戦術を利用して、このグループはジャーナリストやイベント主催者になりすまし、標的のネットワークに侵入します。こうした欺瞞的な戦略を活用することで、APT42 は疑いを持たない被害者の信頼を獲得し、不正アクセスに使用できる貴重な認証情報を収集します。

APT42 の手法の特徴の 1 つは、悪意のある活動を容易にするために複数のバックドアを利用することです。Mandiant のレポートでは、最近の攻撃で 2 つの新しいバックドアが展開されたことが強調されています。これらの秘密のツールにより、APT42 はクラウド環境に侵入し、機密データを盗み出し、オープンソース ツールと組み込み機能を活用して検出を回避できます。

Mandiant の分析では、APT42 が活動に使用している複雑なインフラストラクチャがさらに明らかになりました。このグループは、広範囲にわたる認証情報収集キャンペーンを組織し、ターゲットを 3 つの明確なクラスターに分類しています。メディア組織を装ったり、正当なサービスになりすましたり、APT42 はさまざまな戦術を使用して、被害者を誘惑し、ログイン認証情報を漏らさせようとします。

さらに、APT42 の活動は従来のサイバースパイ活動の範囲を超えています。このグループは、Nicecurl や Tamecat などのカスタムバックドアを展開していることからもわかるように、戦術を適応させる意欲を示しています。それぞれ VBScript と PowerShell で記述されたこれらのツールにより、APT42 は任意のコマンドを実行し、侵害されたシステムから機密情報を抽出できます。

地政学的緊張と地域紛争にもかかわらず、APT42 は情報収集の追求を堅持しています。Mandiant の調査結果は、米国、イスラエル、その他の国々の繊細な地政学的問題に関連する組織を標的にし続けるこのグループの回復力と粘り強さを強調しています。さらに、APT42 の活動と Charming Kitten などの他のイランのハッキング グループの活動との重複は、イランのサイバー活動の組織的かつ多面的な性質を浮き彫りにしています。

このような脅威に直面すると、積極的なサイバーセキュリティ対策が不可欠です。組織は警戒を怠らず、強力なセキュリティ プロトコルを採用し、サイバー防御の最新動向を把握しておく必要があります。コラボレーションと情報共有を強化することで、グローバル コミュニティは APT42 などのグループがもたらす進化する脅威にうまく対処できるようになります。

結局のところ、Mandiant が明らかにした事実は、サイバー脅威の根強く蔓延する性質を思い起こさせるものです。テクノロジーが進歩し続けるのに伴い、防御も進化する必要があります。集団行動と揺るぎない努力によってのみ、APT42 のような国家支援のサイバースパイ集団がもたらすリスクを軽減できると期待できます。