-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
2025年7月1日に米国財務省外国資産管理室(OFAC)はランサムウェア攻撃、データ窃盗、ダークネット上での麻薬密売などの国際的なサイバー犯罪活動を行うための防弾ホスティングサービスを提供したとして「Aeza Group」とその関連企業2社、そしてグループのリーダー4名を制裁対象に指定しました。
防弾ホスティング(BPH)とは、脅威アクターが法執行機関の監視を逃れて活動する際に使用する堅牢なサーバーインフラを提供するサービスを指します。この制裁措置を受け、米国政府は国内のAeza Groupの資産を凍結し、米国市民が同社と取引することを禁じました。
本記事は、マキナレコードが提携するSilent Push社のブログ記事『Silent Push IOFA™ Feed Detects Aeza Group Infrastructure Shift Following OFAC Sanctions』(2025年7月24日付)を翻訳したものです。
こちらのページから、Silent Pushが公開しているその他のブログ記事もご覧いただけます。
Silent Pushについて
Silent Pushは、先駆的なサイバーセキュリティインテリジェンス企業です。リアルタイムで新たに出現する脅威インフラを完全に把握し、独自の将来攻撃指標(IOFA)データを通じて、攻撃を効果的に阻止します。Silent Pushは、スタンドアロンのプラットフォームとして提供されるだけでなく、APIを通じてSIEM、XDR、SOAR、TIP、OSINTを含むさまざまなセキュリティツールと統合し、自動化された実行可能なインテリジェンスを提供します。顧客には世界最大規模の企業や政府機関が含まれています。
目次
[開く][閉じる]- Silent PushでAS番号の移行をリアルタイムで検出
- 武器化される前にインフラを特定
防弾ホスティングに関する最近のウェビナーを見逃した方へ
Silent Pushの将来攻撃指標™(IOFA)フィードについて詳しく知りたい方へ
Silent PushでAS番号の移行をリアルタイムで検出
Silent Pushの脅威アナリストは2025年初頭にAeza Group(AS番号:AS216246およびAS210644)が防弾ホスティングプロバイダーであることを明らかにしました。同年7月20日、Silent PushのIOFA(将来攻撃指標)™フィードはインフラの大規模な移行を自動的に検出しました。Aezaが管理するAS210644のIPアドレス範囲が、Hypercore LTDが運営する別の自律システムであるAS211522に移行し始めたのです。
この移行は制裁措置を回避し、新たなインフラを使い悪意のある事業を継続する試みを示唆しています。
83.147.192[.]5を例として見てみましょう。このIPアドレスは以前までAS210644に関連付けられていましたが、7月20日に防弾ホスティングに関するIOFA™フィードが自動的な再分類を行い、 新たにAS211522との関連性を示すようになりました。
bgp.toolsのBGP(※)データでは、サブネットの83.147.192.0/24が両AS番号にリンクしていることを確認できます。これはAeza Groupが使用しているという考えを裏付けるものです。
(※訳注:ボーダーゲートウェイプロトコルの略称で、インターネット上でのデータ転送に最適なネットワークルートを決定する一連のルールを指します)
Silent Pushのデータによると、AS211522は2025年7月10日に割り当てられたことが、Total Viewプラットフォーム内の検索を通じて確認されています。またこのデータには、同AS番号がすでに2,100件を超えるIPアドレスを含んでいることも示されており、新たに割り当てられたAS番号としては異例の早さであることが示唆されています。これは通常では見られないパターンです。
Silent Pushの脅威アナリストは、引き続きAS211522の調査を進めるとともに、Aeza GroupによるIPの移行にまつわる不審な防弾ホスティングインフラや、最新のコンテキストに関する情報提供を受け付けています。
武器化される前にインフラを特定
Silent Pushはインフラの継続的な監視を通じて、これらが進行中のキャンペーンに広く使われる前に新たな防弾ホスティングプロバイダーを特定・追跡することができます。AS211522への移行という事実から、Aezaはリブランドを行っているか、密接に連携した別のサイバー犯罪組織に活動を引き継いでいる可能性が高いと思われます。
Silent PushのIOFA™のフィードは、攻撃者のインフラを、実際に運用が始まる前に特定できるように設計されています。防弾ホスティングからフィッシングドメイン、マルウェアのC2など将来の脅威の背景に潜むインフラについて、Silent Pushは早期かつ実用的な形に可視化した情報をセキュリティチームにお知らせします。
防弾ホスティングに関する最近のウェビナーを見逃した方へ
Silent Pushの将来攻撃指標™(IOFA)フィードについて詳しく知りたい方へ
