Earth Simnavaz（APT34としても知られる）攻撃検出：イランのハッカーがWindowsカーネルの脆弱性を利用し、UAEおよび湾岸地域を標的に

北朝鮮のAPTグループによるサイバースパイ活動の急増の中、東南アジアを標的とした SHROUDED#SLEEPキャンペーン、サイバーセキュリティの専門家は、イラン系ハッカーによって組織された攻撃の波について警鐘を鳴らしています。この新たに発見されたキャンペーンは、UAEおよび湾岸地域の組織をスパイすることに焦点を当てています。Earth Simnavaz APTとして知られるこのグループは（別名 APT34 またはOilRig）、Microsoft Exchangeサーバーを悪用してログイン認証情報を盗むために、高度なバックドアストレインを展開します。さらに、特権昇格のための新たなWindows Kernelの重大な脆弱性（CVE-2024-30088）を悪用し、システムへの侵入をさらに強化しています。

Earth Simnavaz（別名APT34）攻撃を検出する 

2024年、中国、北朝鮮、イラン、ロシアなどさまざまな地域のAPTグループは、動的かつ革新的な攻撃能力を顕著に増加させ、世界のサイバーセキュリティ環境に重大な課題をもたらしました。可能性のある悪意のある活動を初期段階で検出するために、サイバー防御者は SOC Primeプラットフォームに頼って集団サイバー防御を行うことができます 世界最大の検出ルールライブラリと実用的な脅威インテリジェンスを提供しています。 

「 探索する検出 」ボタンを押し、UAEおよび湾岸地域に対する最新のEarth Simnavazキャンペーンに対応するシグマルールの特選スタックを探索してください。このルールは、30以上のSIEM、EDR、およびデータレイクソリューションと互換性があり、 MITRE ATT&CK®フレームワーク にマッピングされ、脅威調査をスムーズに進めます。さらに、検出は広範なメタデータで強化されており、 CTI 参照、攻撃のタイムライン、トリアージと監査の推奨事項などが含まれています。 

探索する検出

さらに、Earth Simnavaz（APT34）の活動を遡及的に分析し、グループの進化するTTPについての最新情報を持ち続けるために、サイバー防御者はより広範な検出ルールセットにアクセスできます。「APT34」タグを使って脅威検出マーケットプレースを閲覧するか、以下のリンクを使用して APT34ルールコレクションを直接探索 してください。

Earth Simnavaz 別名 APT34攻撃分析

イランの国家支援によるハッキンググループがEarth Simnavaz別名 APT34 やOilRigとして追跡されており、 CVE-2024-30088、以前にパッチがあてられたWindows Kernelの特権昇格の脆弱性を利用して、UAEおよび湾岸地域を対象としたサイバースパイ活動を行っています。 トレンドマイクロは、Earth Simnavazの最新活動に関する研究を行い、グループの攻撃ツールキットの進化と、UAEの重要インフラ組織に対する差し迫った脅威についての新しい詳細を明らかにしました。研究者によると、APT34グループに関連するサイバー攻撃は著しく増加しており、中東の政府部門に集中しています。 into Earth Simnavaz’s latest activities revealing new details about the evolution of the group’s offensive toolkit and the pressing threat it presents to the critical infrastructure organizations in the UAE. According to researchers, cyber-attacks linked to the APT34 group have significantly increased, focusing on government sectors in the Middle East.

最新の攻撃では、Earth Simnavazは新しい高度なバックドアを使用して、オンプレミスのMicrosoft Exchangeサーバーを標的にしてアカウントやパスワードを含む機密認証情報を盗むなどしています。また、平文のパスワードを抽出可能なドロップ済みパスワードフィルターポリシーDLLを悪用し、組織に対する進化する戦術と継続的な脅威を際立たせています。

進化する対策ツールキットには、RMMツールngrokを使用してトンネル交通を行い、侵害されたシステムへの制御を維持するグループの実験も含まれています。さらに、このグループは、カスタム.NETツール、PowerShellスクリプト、およびIISベースのマルウェアを組み合わせて使用し、通常のネットワークトラフィック内で活動をカモフラージュし、従来の検出方法を回避しています。

最初の攻撃段階では、脆弱なWebサーバーを武器化してWebシェルを展開し、ngrokユーティリティを使用して持続性を維持し、ネットワーク内で横移動します。その後、特権昇格の欠陥CVE-2024-30088を利用して、交換サーバー経由で攻撃者制御下のアドレスに電子メール添付ファイルとして送信される盗まれたデータを奪取するSTEALHOOKバックドアを提供します。

APT34が中東、特に湾岸地域の政府部門を標的としたサイバースパイおよびデータ盗難に焦点を当てる中、グループの新しい脅威に対する防御を強化することは危機的な組織にとって重要です。頼るのは SOC Primeの完全な製品スイート で、AIを活用した検出エンジニアリング、自動化された脅威ハンティング、高度な脅威検出を行い、リソース効率を最適化しながら組織のサイバーセキュリティ姿勢を将来的にも保護します。