research blog

ArcaneDoor（Cisco）　IoC追加調査

本記事は、Cisco Talosが発表したArcaneDoorに関するレポートを参考に、

IoCの追加調査を行いその結果をまとめたものです。

4/25にポストした、以下の一連の投稿とほぼ同じ内容になりますが、

一部情報を追加しております。

https://x.com/tdatwja/status/1783229608579764502

参考：

「ArcaneDoor - New espionage-focused campaign found targeting perimeter network devices」

blog.talosintelligence.com

本記事で言及されている脆弱性情報

・CVE-2024-20353／CVE-2024-20359

本記事で言及されているアクターの情報

・UAT4356(STORM-1849)

まずは、"Likely Actor-Controlled Infrastructure"に掲載のIPについてです。

全て調べた中で、特に気になるもの・他のIPの関連情報と共通点のあるもののみピックアップしました。

・185[.]227[.]111[.]17

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

ocserv VPN（2024-01-30）

　→baf04584c99ed2c8a21cc7d8daa74f70fb9534b4（Thumbprint）

https://www.virustotal.com/gui/ip-address/185.227.111.17/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・176[.]31[.]18[.]153

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

ip153[.]ip-176-31-18[.]eu（2024-03-13）

https://www.virustotal.com/gui/ip-address/176.31.18.153/relations

関連：https://www.virustotal.com/gui/domain/ip153.ip-176-31-18.eu/relations

ip153[.]ip-176-31-18[.]euについて

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・185[.]244[.]210[.]120

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

PlugX C2 server？（2024-03-10）

https://www.virustotal.com/gui/ip-address/185.244.210.120/community

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・45[.]86[.]163[.]224

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

ocserv VPN （2024-01-08）

　→8bf1eb37ff2d204cb511dad0fa570be1a49417bc（Thumbprint）

bianlian？（4 months ago）

https://www.virustotal.com/gui/ip-address/45.86.163.224/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・172[.]105[.]94[.]93

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

172-105-94-93[.]ip[.]linodeusercontent[.]com（2024-04-24）

https://www.virustotal.com/gui/ip-address/172.105.94.93/relations

関連：https://www.virustotal.com/gui/domain/linodeusercontent.com/community

linodeusercontent[.]comについて

　→DEV-0401？Bronze Starlight？

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・213[.]156[.]138[.]77

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

ocserv VPN （2024-01-24）

　→c230c703721e903017fd9602f66518c2435d2c88（Thumbprint）

https://www.virustotal.com/gui/ip-address/213.156.138.77/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・131.[.]96[.]252[.]148

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

loksea[.]xyz（2024-03-01）

puterless[.]com（2024-03-01）

mxp[.]stain89net[.]uk（2024-04-25）

dm[.]tkgq[.]mom（2024-04-25）

https://www.virustotal.com/gui/ip-address/131.196.252.148/relations

関連：https://www.virustotal.com/gui/domain/mxp.stain89net.uk/relations

mxp[.]stain89net[.]ukについて

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・121[.]227[.]168[.]69

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

CN（中国）

https://www.virustotal.com/gui/ip-address/121.227.168.69/details

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・194[.]4[.]49[.]6

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

mytight[.]fun（2024-03-22）　

hornyspace[.]fun（2024-04-07）　

fullvid[.]space（2024-04-14）

https://www.virustotal.com/gui/ip-address/194.4.49.6/relations

関連：74[.]119[.]239[.]234について

https://www.virustotal.com/gui/ip-address/74.119.239.234/community

https://www.virustotal.com/gui/file/84c1958abbc2f204358ffe93d08663b692ba982fb862af6659fd5bb2c8520506/community

　→Ivanti？

関連ファイル

　→(展開用)【E-Grid】フィルタ－設定情報_20200924.xls

　　外務省補助金で謳われていた.doc

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・216[.]238[.]75[.]155

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

AS 20473( AS-CHOOPA )

vigorous-stonebraker[.]216-238-75-155[.]plesk[.]page（2024-03-06）　　

216-238-75-155[.]plesk[.]page（2024-03-06）　　

youthful-davinci[.]216-238-75-155[.]plesk[.]page（2024-03-24）

https://www.virustotal.com/gui/ip-address/216.238.75.155/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

次に"Multi-Tenant Infrastructure"掲載のIPについてです。

こちらも、全て調べた中で特に気になるもの・他のIPの関連情報と共通点のあるもののみピックアップしました。

・45[.]76[.]118[.]87

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

https://www.virustotal.com/gui/ip-address/45.76.118.87/relations

　→日本のIPもいくつか含まれています。

関連：不明なファイル

File Name：Hilix[.]x86

MD5：77f728128182a0c84ee4fc129a98ecb7

First Submission：2022-10-26 15:30:07 UTC

File size：52.77 KB (54032 bytes)

https://www.virustotal.com/gui/file/eefbdd9f099211a553b1b902aa60f3d3efccddfb432a171e9faa44e6dc0458e6/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・89[.]44[.]198[.]16

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

89[.]44[.]198[.]16[.]sslip[.]io（2024-04-24）

https://www.virustotal.com/gui/ip-address/89.44.198.16/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・103[.]20[.]222[.]218

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

HK（香港）

https://www.virustotal.com/gui/ip-address/103.20.222.218/details

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・103[.]27[.]132[.]69

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

JP（日本）

https://www.virustotal.com/gui/ip-address/103.27.132.69/details

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・103[.]51[.]140[.]101

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

TW（台湾）

ocserv VPN（2024-04-24）

　→d87de0e4a7a3791a5ffc3c8f2682ba72c5975cad（Thumbprint）

https://www.virustotal.com/gui/ip-address/103.51.140.101/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・103[.]119[.]3[.]230

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

CN（中国）/HK（香港）

https://www.virustotal.com/gui/ip-address/103.119.3.230/details

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・107[.]172[.]16[.]208

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

dpkb[.]hawde[.]buttonhook[.]eu（2024-04-01）　　

ocserv VPN （2024-04-01）

　→ae68f2b4226c82ad2e1bda9b3f2adee23339bfd2（Thumbprint）

https://www.virustotal.com/gui/ip-address/107.172.16.208/relations

関連：https://www.virustotal.com/gui/domain/buttonhook.eu/relations

buttonhook[.]euについて

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・121[.]37[.]174[.]139

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

CN（中国）

ecs-121-37-174-139[.]compute[.]hwclouds-dns[.]com（2024-04-01）　

ocserv VPN （2024-04-01）

　→3bc88f661c0a1ef66ba757d0e379478144e50bb5（Thumbprint）

https://www.virustotal.com/gui/ip-address/121.37.174.139/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・152[.]70[.]83[.]47

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

JP（日本）

ocserv VPN （2024-04-24）

　→7929c23d09ffa019683b9d64c91a4d6501559e83（Thumbprint）

https://www.virustotal.com/gui/ip-address/152.70.83.47/details

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・154[.]22[.]235[.]13

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

AS 139646( HONG KONG Megalayer Technology Co.,Limited ) 　

aioumeiguo923[.]aiou[.]store（2024-04-01）

ocserv VPN （2024-04-01）

　→1ebd5ebe38075961f15b6543a627c8c25b725720（Thumbprint）

https://www.virustotal.com/gui/ip-address/154.22.235.13/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・154[.]22[.]235[.]17

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

AS 139646( HONG KONG Megalayer Technology Co.,Limited )

ocserv VPN （2024-04-24）

　→b797416a641de54b9e51a2ca02e4a92470edb345（Thumbprint）

https://www.virustotal.com/gui/ip-address/154.22.235.17/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・172[.]233[.]245[.]241

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

172-233-245-241[.]ip[.]linodeusercontent[.]com（2024-04-25）

https://www.virustotal.com/gui/ip-address/172.233.245.241/relations

関連：linodeusercontent[.]com

　→DEV-0401？Bronze Starlight？

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・192[.]210[.]137[.]35

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

ocserv VPN（2024-04-24）

　→cf47636e27d01e37d8e0e150b873bf0ad99e8cf2（Thumbprint）

https://www.virustotal.com/gui/ip-address/192.210.137.35/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

・207[.]148[.]74[.]250

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

SG（シンガポール）

207-148-74-250[.]plesk[.]page（2024-04-01）　

thirsty-roentgen[.]207-148-74-250[.]plesk[.]page（2024-04-01）

ocserv VPN（2024-04-01）

　→bbe6d3dc905bf6de8c76c5f57408a8207fad744e（Thumbprint）

https://www.virustotal.com/gui/ip-address/207.148.74.250/relations

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー

いくつかのIPに見られた共通点は、

・AS-CHOOPAの使用

・ocserv VPN の使用

・plesk[.]page／linodeusercontent[.]com

気になる要素は、

・日本のIPも複数含まれている

・PlugX C2 serverの検知履歴

・DEV-0401、Bronze Starlightとの関連を指摘するコメント

・Ivanti（複数の攻撃者が重複して使用している可能性が大きいが）

追加調査のまとめは以上になります。

ありがとうございました。