North Korea-linked ScarCruft APT uses large LNK files in infection chains
2023/05/02 SecurityAffairs — 北朝鮮に関連する ScarCruft APT グループ (別名:APT37/Reaper/Group123) による、2022年以降の攻撃に関するレポートが、Check Point の研究者たちにより公開され。このレポートによると、観測された感染チェーンでは、マルウェアの配信手段が、悪意のドキュメントから、悪意のペイロードを埋め込んだ大容量の LNK ファイルに変わったとのことだ。
Check Point のレポートには、「ROKRAT は、長い間目立った変化は無いが、その展開方法は進化している。現在では、多段階の感染チェーンを開始する LNK ファイルを含む、アーカイブを利用するようになっている。それは、信頼できないソースからのマクロ・ブロックを克服しようとする、APT やサイバー犯罪者たちの大きなトレンドを示している。以下に説明する最初のサンプルは、Microsoft が、この新しいルールの施行を開始した時期と一致する、2022年7月に初めて発見されたものだ」と記されている。
ScarCruft は、2012年ころから活動している。2018年2月上旬に研究者たちが明らかにしたのは、この APT グループが Adobe Flash Player のゼロデイ脆弱性を悪用して、韓国のユーザーにマルウェアを配信したことだった。
最近の攻撃の一部で使用されたルアーの大半は、韓国の外交/内政を標的としており、そのすべてが韓国語であることから、ターゲットは韓国語話者であることが示唆されている。
国家に支援されるグループ ScarCruft の最終目標は、スピアフィッシング・メールを使用して、被害者のシステムに ROKRAT を展開させることだ。ROKRAT RAT は、韓国の人気の Microsoft Word 代替ソフト Hangul Word Processor (HWP) の、韓国ユーザーに対する過去の攻撃で採用されていた。そして ROKRAT は、ScarCruft グループが開発したものと考えられている。
専門家たちは、2022年11月初旬に securityMail.zip というファイルが、VirusTotal に投稿されていたのを発見した。この zip には2つの LNK が含まれており、そのサイズは、いずれも 5MB ほどだった。研究者たちは、2つの LNK 内の PowerShell コマンドの実装が独特であり、ROKRAT/GOLDBACKDOOR LNKの感染だけと一致することを突き止めた。
しかし、今回の感染チェーンは、コモディティ・マルウェア Amadey の展開に至るものだった。過去において Amadey は、APT37 と連携する、北朝鮮の別の脅威アクターである Konni と関連づけられていた。この ROKRAT ランサムウェアは、DropBox/pCloud/Yandex Cloud/OneDrive などの、C2 用のクラウド・インフラに依存している。
Check Point は、「これらの感染チェーンは、2022年以降に、このグループがマルウェアを配信するために悪意のドキュメントに過度に依存するのをやめ、代わりに大容量の LNK ファイル内にペイロードを隠すようになったことを示している。この手口は、単純なダブルクリックで同様に効果的な感染連鎖を引き起こすことができ、N-Day エクスプロイトや、追加のクリックを必要とする Office マクロよりも、信頼できるものだ」とレポートを結んでいる。
この ScarCruft については、2023/04/28 の「北朝鮮の Lazarus/Scarcruft:戦術を拡大して広範な標的を狙っている 」にも登場していますが、こちらは Kaspersky のレポートがベースの記事です。また、文中にある 5MB のファイルという下りですが、2023/03/07 の「Emotet の活動再開を捕捉:2023 大規模キャンーペンのトリックは大容量ファイル?」で解説されているように、アンチ・ウィルス・ソフトウェアなどに負荷をかけることで、スキャンを回避するという狙いがあるようです。よろしければ、North Korea で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.