Lazarus, ScarCruft North Korean APTs Shift Tactics, Thrive
2023/04/28 DarkReading — 北朝鮮の APT (Advanced Persistent Threats) は、新たなペイロードの開発における TTP (Tactics, Techniques, and Procedures) を変更することで、新たな分野や個人を偏りなく標的にすることへ向けて進化し、その個人が北朝鮮人であったとしても標的にし始めている。Kaspersky は、APT Trends Report Q1 2023 において、世界各地における APT 活動の進展を紹介している。たとえば、ロシアでは、動機に決定的な違いがあっても、脅威の主体が重なり合い、協力し合っている。また、イランでは、MuddyWater や OilRig といった既知のグループが新たなキャンペーンを実施し、マルウェアを修正している。特に前者は、エジプト/カナダ/マレーシアといった、遠方の国々へと広がっている。
Kaspersky の Senior Security Researcher である David Emm は、「その一方で、東南アジアが発展する地域となり、すぐに減速する兆しはない。特に注目すべきは北朝鮮であり、国家に支援される ScarCruft や Lazarus Group のような組織が、意外な標的を狙うためにマルウェアをアップグレードしている。たとえば、Lazarus のケースでは、ブルガリアなどの北朝鮮とは関係のない国の組織を標的にしており、ScarCruft は北朝鮮人そのものを攻撃している」と述べている。
Lazarus Group に関する最新情報
Lazarus Group による、最も有名な侵害行為は過去のものになったかもしれないが、依然として活発な活動を続けている。
たとえば 2022年には、Log4j の問題を悪用して、生物医学/遺伝学/土壌科学/エネルギーといった科学研究分野の組織のネットワークに、DTrack バックドアなどのポスト・エクスプロイト・マルウェアを展開している。
さらに最近では、2023年1月に終了したキャンペーンにおいて、オープンソースのリモート管理ツール UltraVNC のバックド・アクライアントを武器にしていた。そのゾンビ化した UltraVNC は、表面上は正常に動作しているように見えても、密かにホスト・コンピュータのデータを流出させ、Blindincan の新バージョンをダウンロードしている。
Blindincan はリモート・アクセス・トロイの木馬であり、Lazarus によるファイルの Read/Write/Delete や、ホスト OS やディスクに関する情報の取得などを可能にするものだ。最新版では、オリジナルの機能を拡張するプラグインが導入されている。
この 2023年1月のキャンペーンを分析した結果として、Blindincan はインドの製造業や不動産業に対して、そして、パキスタンとブルガリアの通信会社に対して、展開されたことが示唆されている。
北朝鮮でのその他の動き
その一方で、Kaspersky の研究者たちは、ScarCruft APT が SidLevel という新しい情報ステーラーを導入していることを確認した。この SidLevel は、東南アジアのハッカーの間で流行している、Go で書かれているという。
この攻撃者の Command and Control (C2) サーバから、データへのアクセスを取得した研究者たちは、北朝鮮の小説家/学生/ビジネスマンなどの個人から盗まれた情報が、豊富にあることを発見した。なお、それらの情報は、国内/国外を問わずに集められているとのことだ。
国家に支援された APT に対して、一人の人間が抵抗することは、きわめて危険な状況にあると Emm は認めているが、それほど珍しいことでもないよだ。
彼は、「APT が組織を狙う場合において、その組織に属する個人を狙うことが多く見られる。ハッカーたちは、大企業の IT インフラにアクセスできる下級社員をターゲットにすることもあれば、機密文書やシステムにアクセスできる上級役員や管理者をスピアフィッシングで攻撃することもある。つまり、標的をダイレクトに定めることがあるのだ」と述べている。
さらに Emm は、「組織や個人にとって重要なのは、そのカテゴリーに自身が属するかどうか、つまり自分が要注意人物である可能性があるかどうかを判断すること。そして、それ以上のことを考えなければならない。不審な行動を検知し、保管しているデータに細心の注意を払うという点で、普通の個人に要求されること以上のことを、注意深く実施する必要がある」と締め括っている。
このところ、北朝鮮の Lazarus は、一般的な報道チャネルでも取り上げられるようになってきました。いま、話題の 3CX サプライチェーン攻撃も、Lazarus の犯行のようです。よろしければ、Lazarus で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.