北朝鮮の Lazarus Group：Microsoft IIS を侵害してスパイウェアを配布している

N. Korean Lazarus Group Targets Microsoft IIS Servers to Deploy Espionage Malware

2023/05/24 TheHackerNews — 悪名高い Lazarus Group は、狙いを定めたシステムにマルウェアを展開するイニシャル侵入経路として、脆弱な バージョンの Microsoft Internet Information Services (IIS) をターゲットにしている。今回の発見は、AhnLab Security Emergency response Center (ASEC) によるものであり、DLL サイドローディング技術を継続的に悪用する APT グループが、任意のペイロードを実行する方法について詳述している。

ASEC は、「この脅威アクターは、Windows IIS の Web サーバ・プロセスである w3wp.exe を介して、通常のアプリケーション (Wordconv.exe) と同じフォルダ・パスに、悪意の DLL (msvcr100.dll) を配置する。その後に、正規のアプリケーションを実行することで、その悪意の DLL を立ち上げる」と説明している。

DLL サイドローディングとは、DLL 検索順ハイジャックと同様に、同じディレクトリに置かれた良性のバイナリを介して、不正な DLL を代理実行するものである。

北朝鮮の国家に支援される Lazarus は、その極めて高い能力と、執拗な攻撃を特徴としている。最近では、企業向け通信サービス・プロバイダーである 3CX への、連鎖的なサプライチェーン攻撃を行っているが、その他のターゲットに対しても、同様の手法を用いていることが判明している。

悪意の msvcr100.dll ライブラリは、暗号化されたペイロードを解読し、メモリ上で実行するように設計されている。このマルウェアは、昨年に ASEC が発見した類似のアーティファクトの亜種であり、脅威アクターがコントロールするサーバと通信するための、バックドアとして機能すると言われている。

さらに、この攻撃チェーンでは、オープンソースの Notepad++ プラグインである Quick Color Picker を悪用して、認証情報の窃取と横展開を促進するための、追加のマルウェアを配信している。今回のインシデントは、Lazarus による攻撃の多様性を示し、また、長期的なスパイ活動を行うための広範なツールセットを使用する能力を示している。

ASEC は、「この脅威グループは、イニシャルの侵入時に、主として DLL サイドローディングを利用しているため、その検出は困難である。したがって、ユーザー企業は、異常なプロセスの実行を積極的に監視し、脅威グループによる情報流出や横移動などの活動を防ぐために、先手を打つ必要がある」と述べている。

米国財務省による北朝鮮関連団体への制裁

北朝鮮における戦略的な優先事項の支援を目的とした、悪質なサイバー活動や資金調達スキームに関与したとして、米国財務省が４つの団体と１人の個人を制裁した直後に、今回の調査結果は発表されている。

この制裁の対象になったのは、Technical Reconnaissance Bureau／Pyongyang University of Automation／Chinyong Information Technology Cooperation Company／110th Research Center および、北朝鮮国籍の Kim Sang Man である。

Lazarus Group とクラスターは、北朝鮮の攻撃的なサイバー戦術とツール開発を監督する、Technical Reconnaissance Bureau が運営すると推測されている。

北朝鮮の熟練した IT 労働者たちは、暗号通貨の窃盗やスパイ活動に従事するほか、世界中のテクノロジーや仮想通貨分野で仕事を得るために、架空の身分を装うとも認識されている。

米国財務省は、「DPRK (Democratic People’s Republic of Korea) は悪意のサイバー活動を行い、仮想通貨などから収入を得るために、身分を偽った IT 労働者を配備し、大量破壊兵器や弾道ミサイルの計画などを資金面で支援している。それらの労働者は、企業での仕事をえるために、偽のペルソナ／プロキシアカウント／盗み出した ID／偽造された文書を用いることで、意図的に自身の身元／所在／国籍を難解にしている」と述べている。

韓国政府は 2022年12月の時点で、「彼らは、世界中の企業からフリーランスの雇用契約を得た後に、Web サイト／アプリや暗号通貨サービスの開発といった、広範な IT 開発業務に従事し、年間で数億ドルを不正に稼いでいる」 と警告している。

Lazarus ですが、このところ注目を集め続けています。この記事も、IIS をターゲットにした DLL サイドローディングを解説するものであり、この APT の攻撃力を示すものとなっています。2023/04/28 の「北朝鮮の Lazarus／ScarCruft：戦術の拡大と標的のグローバル化 – Kaspersky 調査」でも、その攻撃対象の拡大が指摘されています。よろしければ、Lazarus で検索も、ご利用ください。