APT33は独自のVPNネットワークを使用して、追跡をより困難にしています

米国の個人や組織を注意深く標的にしている有名な犯罪集団APT33, アジア, と中東, 追跡をより困難にするために特別な注意を払っています, トレンドマイクロの研究者は言う.

APT33, 研究者がイラン政府によって支援されていると信じている人, VPNノードの独自のネットワークを使用しています.

APT33のコマンドおよび制御ドメインは通常、クラウドでホストされているプロキシにあり、感染したボットから共有ウェブサーバーのバックエンドにURLリクエストを送信します。. これらのウェブサーバーは、何千もの正当なドメインをホストしている可能性があります. そう, 次は何が起こる.

によると トレンドマイクロのレポート, “バックエンドは、専用IPアドレス上にあるデータアグリゲーターとボット制御サーバーにボットデータを報告します. APT33アクターは、頻繁に変更される出口ノードを備えたプライベートVPNネットワークを介してこれらのアグリゲーターに接続します. 次に、APT33アクターはボットにコマンドを発行し、これらのVPN接続を使用してボットからデータを収集します.”

これらの最新の攻撃メカニズムでは、, ハッキング集団は、主に石油および航空業界の被害者を標的にしてきました. 今年の攻撃のほとんど, APT33によって「署名された」が使用されました スピアフィッシング さまざまなターゲットを危険にさらす.

脅威アクターによって実行された2019年のマルウェアキャンペーンの犠牲者には、米国の民間企業が含まれます. 国家安全保障に関連する会社, 米国の大学および大学に関連する個人, 米国に関連する個人. 軍隊, 中東とアジアの他の犠牲者.

APT33のVPNネットワーク

脅威アクターはよく使用します 商用VPNサービス 彼らの運用では、プライベートネットワークの設定も重要です. これは、国際的なデータセンターから数台のサーバーを借りることで簡単に実現できます。.

そう, 研究者はどのようにしてこの活動を追跡することができましたか?

プライベートVPNネットワークからの接続は、依然として世界中の一見無関係なIPアドレスから来ていますが, この種のトラフィックは実際には追跡が容易です. 出口ノードが主に特定のアクターによって使用されていることがわかったら, 出口ノードのIPアドレスから作成された接続の帰属について高い信頼性を得ることができます. 例えば, Cの管理に加えて&プライベートVPN出口ノードからのCサーバー, アクターは、ターゲットのネットワークの偵察も行っている可能性があります.

研究者たちはまた、APT33はおそらくVPN出口ノードを排他的に使用していると信じています. トレンドマイクロは、グループのプライベートVPN出口ノードの一部を1年以上追跡しています。, 結果として, ハッカーの操作に関連するいくつかのIPアドレスが明らかになりました.

VPNレイヤーに加えて, ハッカーはボットコントローラーレイヤーも利用しています, マルウェアボットネットの管理に使用されるサーバーのコマンドアンドコントロールバックエンドレイヤー, とプロキシ層, またはクラウドプロキシサーバーのコレクション.