BlueNoroff APT の戦術:日本への強い関心と Windows MoTW 回避

BlueNoroff APT Hackers Using New Ways to Bypass Windows MotW Protection

2022/12/27 TheHackerNews — Lazarus Group のサブクラスタである BlueNoroff だが、Windows の Mark of the Web (MoTW) 保護を回避するための、新しい技術を採用していることが確認されている。今日の Kaspersky レポートによると、光ディスクイメージ (拡張子.ISO) および仮想ハードディスク (拡張子.VHD) ファイル形式を用いる、新たな感染チェーンが追加されているとのことだ。セキュリティ研究者である Seongsu Park は、「BlueNoroff は、ベンチャー・キャピタル企業や銀行を装う、多数の偽ドメインを作成している。2022年9月のテレメトリ測定において、この新しい攻撃手順にフラグが立てられた」と述べている。


一連の偽ドメインに含められるものとして、ABF Capital/Angel Bridge/ANOBAKA/Bank of America/Mitsubishi UFJ Financial Group などを模したものも確認されており、そのほとんどが日本にあり、日本への「強い関心」を示されている。

BlueNoroff は、APT38/Nickel Gladstone/Stardust Chollima などの名前で呼ばれ、Andariel (別名 Nickel Hyatt/Silent Chollima) および Labyrinth Chollima (別名 Nickel Academy) などで構成される、より大きな Lazarus 脅威グループの一部でもある。

この脅威アクターは、諜報活動とは対照的な金銭的な動機により、脅威のランドスケープでは珍しい国家アクターとなり、「より広い地理的広がり」を可能にし、北アメリカ/南アメリカ/ヨーロッパ/アフリカ/アジアの組織に侵入することを可能にしている。

そして、2016年2月のバングラデシュ銀行 $81 million インシデントや、2015年〜2016年の SWIFT 銀行ネットワークに対する高プロファイルのサイバー攻撃に関与してきた。さらに 2018年以降において、BlueNoroff は戦術的な変化を遂げ、攻撃の対象を銀行から暗号通貨の事業体へとシフトし、不正な収入だけに焦点を当てるようになったようだ。

こうした背景により、今年の初めに Kaspersky は、被害者の暗号通貨ウォレットからデジタル資金を引き出すために仕組まれた、SnatchCrypto と呼ばれるキャンペーンの詳細を公開している。

また、AppleJeus は、偽の暗号通貨会社を設立して、無辜の被害者を誘い出してアプリをインストールさせ、最終的にバックドア・アップデートを受け取らせるというものであり、このグループによるもう1つの重要な活動であるとされている。

Kaspersky が確認した最新の活動では、最終的なペイロードを伝染させるために、わずかな変更が加えられており、スピアフィッシング・メールに添付されるファイルを、Microsoft Word 文書から ISO に置き換えて感染を誘発している。

この光学イメージ・ファイルには、Microsoft PowerPoint のスライドショー (.PPSX) と Visual Basic Script (VBScript) が含まれており、ターゲットが PowerPoint ファイル内のリンクをクリックすると、このスクリプトが実行される。

もう1つの方法は、マルウェアが組み込まれた Windows バッチ・ファイルを起動し、LOLBin (living-off-the-land バイナリ) を悪用することで第2段階のダウンローダーを取得し、リモートからペイロードを取得/実行するものだ。

Kaspersky が発見したのは、中間ダウンローダーを生成するために兵器化された、おとりジョブの説明 PDF ファイルを取り込んだ .VHD サンプルである。ユーザー・モード・フックを削除して、正規の EDR ソリューションを無効にした後に次の段階のペイロードを取得するために、ウイルス対策ソフトウェアになりすます。

配信されるバックドアの正体は明らかにされていないが、SnatchCrypto 攻撃で利用された永続化バックドアに類似していると評価されている。

また、日本語のファイル名が用いられ、日本のベンチャー・キャピタルを装う不正なドメインが作成されていることから、日本の金融機関が BlueNoroff の標的にされている可能性が高いと考えられる。

北朝鮮は、核開発への懸念により国連などから経済制裁を受けており、サイバー戦争へと大きくシフトしている。つまり、資金難に陥っている同国にとって、サイバー戦争が主要な収入源として浮上しているのだ。

実際のところ、韓国の国家情報院 (NIS) によると、国家に支援された北朝鮮のハッカーは、これまでの5年間において、世界中の標的から $1.2 billion 暗号通貨などを盗んだと推定されている。

Seongsu Park は、「このグループは強い金銭的動機を持っており、サイバー攻撃で利益を上げることに成功している。つまり、このグループによる攻撃が、近い将来において減少する可能性は低いことも示唆される」と述べている。

Lazarus Group の下部組織である BlueNoroff という北朝鮮の APT が、Windows の Mark of the Web (MoTW) 保護を回避する戦術により、日本の金融機関やベンチャー・キャピタルなどを狙っているようです。攻撃手法としては、PowerPoint ファイルなどが用いられ、そこから悪意の VBScrript などがフックされるとのことです。よろしければ、APT で検索も、ご利用ください。

%d bloggers like this: