PR

イランAPT Infyが復活:Foudre/Tonnerre新活動とDGA型C2

Security

Source:https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html

🛡 概要

長年潜伏していたイラン系APT「Infy(別名:Prince of Persia)」の新たなマルウェア活動が確認されました。SafeBreachの解析によれば、Foudre(ダウンローダ兼被害端末プロファイラ)とTonnerre(第2段階インプラント)の最新版が運用され、イラン、イラク、トルコ、インド、カナダ、そして欧州の被害者を標的にしています。Infyは2004年頃から活動が確認される古参のスパイ活動主体で、他のイラン系(Charming Kitten、MuddyWater、OilRig)と比べ露出が少ない一方で、現在も有効かつ危険な脅威です。

CVSS: 該当なし(本件はキャンペーン/マルウェアであり特定CVEの悪用情報は提示されていません)。

🔍 技術詳細

今回のチェーンは、従来のマクロ付きExcelから進化し、Excelドキュメント内に実行ファイル(EXE)を埋め込んでFoudreを導入する手口へシフトしています。Foudreは被害端末の情報収集とC2疎通の初期足場を担い、Tonnerre(v12–18, v50など)を投入して高価値端末からのデータ窃取を実行します。最新版Foudreはv34、Tonnerreの最新版は2025年9月に検出されています。C2耐障害性の要としてDGA(Domain Generation Algorithm)を採用し、C2ドメインを日次で回転させる一方、C2正当性検証のためにRSA署名ファイルを取得・検証します。具体的には、C2に配置された「key」ディレクトリから「https:///key/.sig」にアクセスし、マルウェア内蔵の公開鍵で検証、ローカルのベリデーションファイルと照合します。C2側には通信ログや漏えいファイルの保存ディレクトリに加え、不明目的の「download」ディレクトリも確認されています。

Tonnerre最新版は、C2サーバ経由でTelegramグループ(名称「سرافراز」=“誇り高く”)へ接続するメカニズムを実装。C2上の「t」ディレクトリにある「tga.adr」ファイルにグループ情報が格納され、特定の被害端末GUIDのリストに該当する場合のみダウンロード可能とされています。グループにはコマンド配布・収集に利用されると推測されるボット「@ttestro1bot」とユーザ「@ehsan8999100」が含まれます。さらに、2017〜2020年のFoudreキャンペーンでは、Amaq News FinderやDeep Freezeを装う偽装、Foudre v24 DLL経由でTelegram内容をスパイする「MaxPinner」、未知マルウェア「Rugissement」などのバリアントも観測されています。

⚠ 影響

本件は主にスパイ目的の長期潜伏(APT)活動であり、機密情報の収集・外部送信(業務文書、資格情報を含む可能性)により、組織の競争力、外交/安全保障、法務リスク、ブランド毀損に直結します。DGAによるC2の回転とRSA検証により、C2ブロック回避と乗っ取り対策が強化され、封じ込め難度が上がります。

🛠 対策

  • メール/Office防御: 埋め込み実行ファイルとマクロのブロック、MOTW(インターネット由来ファイルの保護ビュー/マクロ無効化)厳格化、パスワード付アーカイブのサンドボックス強制展開。
  • アプリ制御: WDAC/AppLockerでOffice(Excel等)からの子プロセス実行や不審EXE/DLLロードを制限。
  • ネットワーク/Egress制御: 業務上不要なTelegramアクセスの遮断、未知/新規登録ドメインやDGA疑いドメインをDNSフィルタ(RPZ/脅威インテリ)でブロック。TLS SNI/URI監視で「/key/」配下の.sig取得パターンを検知。
  • EDR強化: Office→不審EXE起動、日次アクセスの反復(day-of-yearを含むURLパターン)、Foudre/Tonnerre既知のファイル名/レジストリ/スケジューラ等の痕跡を監視。
  • 収集・封じ込め: 侵害兆候が確認された端末はネットワーク隔離し、メモリ/ディスクフォレンジクスで第2段階の常駐有無を確認。
  • ユーザ教育: 宛先不明メール添付の開封抑止、保護ビュー解除禁止の徹底。

📌 SOC視点

  • プロセス監視: winword.exe/excel.exe→cmd.exe/powershell.exe/未知EXEの子プロセス生成、およびrundll32/regsvr32の悪用を高優先アラート化。
  • DNS/HTTP: NXDOMAINバースト(DGA兆候)、短期生存ドメインへのHTTPS通信、URIに「/key/」かつ拡張子「.sig」を含むGETの検出。日次で年末まで連番(yy+通日番号)を含むアクセスの相関。
  • Telegram関連: 組織方針で未許可の場合、api.telegram.orgやTelegram MTProtoエンドポイントへの通信試行を可視化・遮断(利用要件に応じ選択)。
  • ファイル/タスク痕跡: Foudre/Tonnerreの自己更新や持続化に伴う新規実行ファイル配置、スケジュールタスク/レジストリRunキーの追加(検出テンプレートの適用)。
  • 狩りの指標: 「Excelが自己展開したEXEの生成直後に外向きHTTPS→/key/*.sig」の連続事象をユースケース化。

📈 MITRE ATT&CK

  • TA0001 初期アクセス / T1566.001 スピアフィッシング添付: Excel文書経由でFoudreを配布。
  • TA0002 実行 / T1204.002 ユーザ実行(悪性ファイル): 埋め込みEXEのユーザ実行に依存。
  • TA0007 発見 / T1082 システム情報探索: Foudreの被害端末プロファイリング。
  • TA0011 C2 / T1568.002 DGA: C2ドメインの動的生成でレジリエンス確保。
  • TA0011 C2 / T1071.001 アプリ層プロトコル(Web): HTTPSでC2と通信、「/key/*.sig」を日次取得。
  • TA0009 収集 / T1005 ローカルデータの取得: Tonnerreがファイル等を収集。
  • TA0010 流出 / T1041 C2チャネル経由の流出: 収集データをC2へ送信。※一部でTelegram連携の仕組みをC2経由で起動。
  • TA0005 防御回避 / T1036 偽装: 過去バリアントでAmaq News Finder/Deep Freezeに偽装。

根拠: SafeBreachの技術分析に基づき、配布手段(添付Excel)、実行形態(埋め込みEXE)、プロファイリング、DGAとRSA検証に基づくC2、Tonnerreによる収集・流出、過去の偽装手口が確認されています。

🏢 組織規模別助言

  • 〜50名(小規模): メールGWで添付の自動サンドボックス化、Officeの子プロセス禁止(WDACの推奨ポリシー)、DNSフィルタ(クラウド型)の導入。
  • 50〜500名(中規模): EDRで「Office→EXE起動」検知ルール、egress許可リスト方式、DGA検知(NXDOMAINバースト/新規登録ドメイン)をSOC運用に組み込み。
  • 500名以上(大規模): 監視基盤でURIパターン「/key/*.sig」相関分析、TLS可視化、脅威インテリ連携(DGAシグネチャ)、レッド/パープルチームでフィッシングからC2まで演習。

🔎 類似事例

  • Charming Kitten(APT35)の長期的な認証情報フィッシングおよびMoses Staff関連運用(DomainToolsの分析)。
  • MuddyWater(MERCURY)のスピアフィッシングと後段ペイロード展開。
  • OilRig(APT34)によるメール経由のバックドア配布。
  • Infy過去キャンペーン: Amaq News Finder/Deep Freezeへの偽装、MaxPinnerトロイの木馬、未知のRugissement。

🧭 次の一手

まずはゲートウェイとEDRで「Office→子プロセス」「/key/*.sig」パターン検出を有効化し、疑わしい端末を隔離のうえフォレンジクスを実施してください。次に、DGA検知とメール保護のプレイブックを整備し、年次のセキュリティ演習に本シナリオを組み込みましょう。詳細なハンティング・ルールと封じ込め手順については、当サイトの「フィッシングからC2までの分断ガイド」「DGA検知プレイブック」記事を参照してください。