Googleがイラン政府系ハッカー組織について公式警告を発表

Googleのサービスを対象とした標的型攻撃を未然に防ぐためのグループであるThreat Analysis Group(脅威分析グループ：TAG)がイラン政府の支援を受けているとされるハッカー組織「APT35」について公式警告を発しました。この公式警告の中で、TAGはAPT35が用いた手口について解説しています。

Countering threats from Iran
https://blog.google/threat-analysis-group/countering-threats-iran/

TAGによると、APT35は長年にわたってイラン政府に利するようなスパイ活動を行ってきたハッカーグループで、直近では2020年のアメリカ合衆国大統領選挙に際して選挙関係者の私的なメールアドレスにクレデンシャルスタッフィング攻撃を仕掛けていたことがわかっているとのこと。TAGが明かした、APT35の攻撃手法が以下。

◆ハッキングしたウェブサイトを活用したクレデンシャルフィッシング攻撃
2021年初頭、APT35はイギリスの大学と提携しているウェブサイトをハッキングして「偽のオンラインセミナー」に参加するように求めるメールを送信するという攻撃を行いました。この偽のオンラインセミナーに参加するためにはGoogleアカウントやMicrosoftアカウントなどの認証情報が必要で、デバイスに送信された2段階認証の認証コードも要求されたとのこと。

実際のウェブページが以下。GoogleアカウントやMicrosoftアカウントでのログインを求められることがわかります。

TAGによると、APT35は2017年頃から同様の手法での攻撃を続けており、攻撃対象としては政府系機関・学術系機関・報道機関・NGO団体などが選ばれているそうです。

◆スパイウェアアプリの配布
2020年5月、TAGはAPT35がGoogle Playストアにスパイウェアをアップロードしようとしていたことを発見しました。アップロードされようとしていたスパイウェアはVPNソフトウェアに偽装されており、インストールすると通話ログ・テキストメッセージの内容・連絡先・位置情報などの機密情報が盗み出されるようになっていたとのこと。このVPNソフトウェアは即座に検出され、ユーザーのインストール前にGoogle Playストアから削除されましたが、2021年7月にはGoogle Playストア以外のアプリケーション配布プラットフォームで同種のアプリが配布されようとしていたそうです。このスパイウェアが混入したVPNソフトウェアは、以下のような見た目をしています。

◆カンファレンス関係者になりすましたフィッシング攻撃
TAGが「APT35の最も顕著な特徴の1つ」として挙げたのが、カンファレンス関係者へのなりすましです。APT35は実在するイタリアのカンファレンスについて何の手も加えていないメールを送信し、ユーザーが反応した場合にはフィッシングリンクを含むメールを送信するという攻撃を行っていたとのこと。TAGによると、2回目のメールに含まれているリンクをクリックすると、リダイレクトを経てからフィッシング用ドメインに転送されるそうです。APT35はURLを偽装するためにURL短縮サービスなどを悪用しており、中にはGoogleフォームを装ってフィッシングサイトにリダイレクトするという手法も用いるものもあったとのこと。

◆Telegramの通知機能を活用した攻撃
APT35の斬新な手法の1つが、プライバシー特化型SNSのTelegramを使うというものです。APT35はTelegramにページが読み込まれた際に通知を行うJavascriptにフィッシングページを埋め込み、公開チャンネル経由でメッセージを無差別に送りつけることでIPやロケールなどを抜き出していたとのこと。TAGはAPT35がメッセージを送りつけるのに用いたBOTをTelegramに報告し、TelegramはこのBOTをすでに削除しています。

TAGはワークスペース管理者に対し、攻撃アラートに関する通知を真剣に受け止め、可能ならば高度な保護プログラムに参加し、2要素認証を有効化するように推奨しています。