ArcaneDoor(Cisco) IoC追加調査

 

 

 

本記事は、Cisco Talosが発表したArcaneDoorに関するレポートを参考に、

IoCの追加調査を行いその結果をまとめたものです。

 

4/25にポストした、以下の一連の投稿とほぼ同じ内容になりますが、

一部情報を追加しております。

https://x.com/tdatwja/status/1783229608579764502

 

 

参考:

「ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices」

 

blog.talosintelligence.com

 

 

本記事で言及されている脆弱性情報

・CVE-2024-20353/CVE-2024-20359

 

本記事で言及されているアクターの情報

・UAT4356(STORM-1849)

 

 

まずは、"Likely Actor-Controlled Infrastructure"に掲載のIPについてです。

全て調べた中で、特に気になるもの・他のIPの関連情報と共通点のあるもののみピックアップしました。

 

 

 

・185[.]227[.]111[.]17

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

ocserv VPN2024-01-30)

 →baf04584c99ed2c8a21cc7d8daa74f70fb9534b4(Thumbprint)

https://www.virustotal.com/gui/ip-address/185.227.111.17/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

176[.]31[.]18[.]153

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

ip153[.]ip-176-31-18[.]eu2024-03-13)

https://www.virustotal.com/gui/ip-address/176.31.18.153/relations

 

関連:https://www.virustotal.com/gui/domain/ip153.ip-176-31-18.eu/relations

ip153[.]ip-176-31-18[.]euについて

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

185[.]244[.]210[.]120

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

PlugX C2 server?(2024-03-10)

https://www.virustotal.com/gui/ip-address/185.244.210.120/community

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

45[.]86[.]163[.]224

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

ocserv VPN2024-01-08)

 →8bf1eb37ff2d204cb511dad0fa570be1a49417bc(Thumbprint)

 

bianlian?(4 months ago)

 

https://www.virustotal.com/gui/ip-address/45.86.163.224/relations

 

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

172[.]105[.]94[.]93

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

172-105-94-93[.]ip[.]linodeusercontent[.]com(2024-04-24)

https://www.virustotal.com/gui/ip-address/172.105.94.93/relations

 

関連:https://www.virustotal.com/gui/domain/linodeusercontent.com/community

linodeusercontent[.]comについて

 →DEV-0401?Bronze Starlight?

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

213[.]156[.]138[.]77

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

ocserv VPN2024-01-24)

 →c230c703721e903017fd9602f66518c2435d2c88(Thumbprint)

https://www.virustotal.com/gui/ip-address/213.156.138.77/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

131.[.]96[.]252[.]148

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

loksea[.]xyz(2024-03-01)

puterless[.]com(2024-03-01)

mxp[.]stain89net[.]uk(2024-04-25)

dm[.]tkgq[.]mom(2024-04-25)

https://www.virustotal.com/gui/ip-address/131.196.252.148/relations

 

関連:https://www.virustotal.com/gui/domain/mxp.stain89net.uk/relations

mxp[.]stain89net[.]ukについて

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

121[.]227[.]168[.]69

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

CN(中国)

https://www.virustotal.com/gui/ip-address/121.227.168.69/details

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

194[.]4[.]49[.]6

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

mytight[.]fun(2024-03-22)  

hornyspace[.]fun(2024-04-07)  

fullvid[.]space(2024-04-14)

https://www.virustotal.com/gui/ip-address/194.4.49.6/relations

 

関連:74[.]119[.]239[.]234について

https://www.virustotal.com/gui/ip-address/74.119.239.234/community

https://www.virustotal.com/gui/file/84c1958abbc2f204358ffe93d08663b692ba982fb862af6659fd5bb2c8520506/community

 

 →Ivanti?

 

関連ファイル

 →(展開用)【E-Grid】フィルタ-設定情報_20200924.xls

  外務省補助金で謳われていた.doc

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

216[.]238[.]75[.]155

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

AS 20473( AS-CHOOPA )

 

vigorous-stonebraker[.]216-238-75-155[.]plesk[.]page(2024-03-06)   

216-238-75-155[.]plesk[.]page(2024-03-06)   

youthful-davinci[.]216-238-75-155[.]plesk[.]page(2024-03-24)

 

https://www.virustotal.com/gui/ip-address/216.238.75.155/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

次に"Multi-Tenant Infrastructure"掲載のIPについてです。

こちらも、全て調べた中で特に気になるもの・他のIPの関連情報と共通点のあるもののみピックアップしました。

 

 

 

45[.]76[.]118[.]87

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

https://www.virustotal.com/gui/ip-address/45.76.118.87/relations

 →日本のIPもいくつか含まれています。

 

関連:不明なファイル

File Name:Hilix[.]x86

MD5:77f728128182a0c84ee4fc129a98ecb7

First Submission:2022-10-26 15:30:07 UTC

File size:52.77 KB (54032 bytes)

https://www.virustotal.com/gui/file/eefbdd9f099211a553b1b902aa60f3d3efccddfb432a171e9faa44e6dc0458e6/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

89[.]44[.]198[.]16

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

89[.]44[.]198[.]16[.]sslip[.]io(2024-04-24)

https://www.virustotal.com/gui/ip-address/89.44.198.16/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

103[.]20[.]222[.]218

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

HK(香港)

https://www.virustotal.com/gui/ip-address/103.20.222.218/details

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

103[.]27[.]132[.]69

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

JP(日本)

https://www.virustotal.com/gui/ip-address/103.27.132.69/details

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

103[.]51[.]140[.]101

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

TW(台湾)

 

ocserv VPN2024-04-24)

 →d87de0e4a7a3791a5ffc3c8f2682ba72c5975cad(Thumbprint)

 

https://www.virustotal.com/gui/ip-address/103.51.140.101/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

103[.]119[.]3[.]230

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

CN(中国)/HK(香港)

https://www.virustotal.com/gui/ip-address/103.119.3.230/details

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

107[.]172[.]16[.]208

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

dpkb[.]hawde[.]buttonhook[.]eu(2024-04-01)   

 

ocserv VPN2024-04-01)

 →ae68f2b4226c82ad2e1bda9b3f2adee23339bfd2(Thumbprint)

https://www.virustotal.com/gui/ip-address/107.172.16.208/relations

 

関連:https://www.virustotal.com/gui/domain/buttonhook.eu/relations

buttonhook[.]euについて

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

121[.]37[.]174[.]139

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

CN(中国)

 

ecs-121-37-174-139[.]compute[.]hwclouds-dns[.]com(2024-04-01)  

 

ocserv VPN2024-04-01)

 →3bc88f661c0a1ef66ba757d0e379478144e50bb5(Thumbprint)

 

https://www.virustotal.com/gui/ip-address/121.37.174.139/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

152[.]70[.]83[.]47

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

JP(日本)

 

ocserv VPN2024-04-24)

 →7929c23d09ffa019683b9d64c91a4d6501559e83(Thumbprint)

 

https://www.virustotal.com/gui/ip-address/152.70.83.47/details

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

154[.]22[.]235[.]13

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

AS 139646( HONG KONG Megalayer Technology Co.,Limited )  

 

aioumeiguo923[.]aiou[.]store(2024-04-01)

 

ocserv VPN2024-04-01)

 →1ebd5ebe38075961f15b6543a627c8c25b725720(Thumbprint)

 

https://www.virustotal.com/gui/ip-address/154.22.235.13/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

154[.]22[.]235[.]17

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

AS 139646( HONG KONG Megalayer Technology Co.,Limited )

 

ocserv VPN2024-04-24)

 →b797416a641de54b9e51a2ca02e4a92470edb345(Thumbprint)

 

https://www.virustotal.com/gui/ip-address/154.22.235.17/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

172[.]233[.]245[.]241

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

172-233-245-241[.]ip[.]linodeusercontent[.]com(2024-04-25)

https://www.virustotal.com/gui/ip-address/172.233.245.241/relations

 

関連:linodeusercontent[.]com

 →DEV-0401?Bronze Starlight?

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

192[.]210[.]137[.]35

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

ocserv VPN2024-04-24)

 →cf47636e27d01e37d8e0e150b873bf0ad99e8cf2(Thumbprint)

https://www.virustotal.com/gui/ip-address/192.210.137.35/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

207[.]148[.]74[.]250

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

SG(シンガポール

 

207-148-74-250[.]plesk[.]page(2024-04-01)  

thirsty-roentgen[.]207-148-74-250[.]plesk[.]page(2024-04-01)

 

ocserv VPN2024-04-01)

 →bbe6d3dc905bf6de8c76c5f57408a8207fad744e(Thumbprint)

 

https://www.virustotal.com/gui/ip-address/207.148.74.250/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

 

 

 

いくつかのIPに見られた共通点は、

・AS-CHOOPAの使用

・ocserv VPN の使用

plesk[.]page/linodeusercontent[.]com

 

気になる要素は、

・日本のIPも複数含まれている

・PlugX C2 serverの検知履歴

・DEV-0401、Bronze Starlightとの関連を指摘するコメント

・Ivanti(複数の攻撃者が重複して使用している可能性が大きいが)

 

 

追加調査のまとめは以上になります。

ありがとうございました。