JumpCloud ハッキング：北朝鮮の RGB に属する脅威アクターが関与か？

North Korean Nation-State Actors Exposed in JumpCloud Hack After OPSEC Blunder

2023/07/25 TheHackerNews — 北朝鮮の General Bureau (RGB) に所属する活動家たちが、JumpCloud のハッキングに関与しているようだ。Google 傘下の Mandiant は、UNC4899 という名前で追跡している脅威アクターに起因する活動だとしている。このグループは、ブロックチェーンと暗号通貨セクターを攻撃してきた Jade Sleet／TraderTraitor として監視されている、クラスターと重複している可能性が高いようだ。また、UNC4899 は APT43 とも重なっている。APT43 とは、北朝鮮 (DPRK) に関連する別のハッキング・グループであり、2023年3月の初旬に、標的とした企業から暗号通貨を吸い上げるための、一連のキャンペーンを実施していることが明らかになっている。

この敵対的集団の手口は、L2TP IPsec トンネルを使用した ORB (Operational Relay Box) を、商用 VPN プロバイダーと共用し、攻撃者の真の発信地を偽装することで、商用 VPN サービスをラストホップとして機能させるという特徴を持っている。

7月24日 (月) 発表した分析で Mandiant は、「北朝鮮の脅威アクターが、このラストホップを使用しないケースや、被害者のネットワーク上で操作を行っている間に、誤って使用しなかったケースが何度もあった。そして、UNC 4899が 175.45.178[.]0/24 サブネットから、攻撃者が制御する ORB に接続しているのを確認した」と付け加えている。

2023年6月22日に発生した JumpCloud への侵入では、不正アクセスを利用する高度なスピアフィッシング・キャンペーンの一環として、５社未満の顧客と 10未満のシステムに対して、ソフトウェア・サプライチェーン攻撃が実施された。

Mandiant による調査結果のベースとなっているのは、JumpCloud の影響を受けた顧客の１社である、無名のソフトウェアソリューション事業体に対する、サイバー攻撃の余波から始まったインシデント対応である。その出発点は、2023年6月27日に JumpCloud エージェント経由で実行された、悪意の Rubyスクリプト “init.rb” である。

このインシデントの特筆すべき点は、macOS Ventura の Ver 13.3／13.4.1 を実行している、４つの Apple システムを標的としていることだ。この数カ月間において、北朝鮮の脅威アクターたちが、このプラットフォーム向けに調整されたマルウェアの改良に、継続的に投資していることが浮き彫りにされている。

Mandiant は、「最初のアクセスは JumpCloud の侵害であり、そのコマンド・フレームワークに悪意のあるコードを挿入することで得られた。少なくとも１つの例では、悪意のコードは、JumpCloud エージェントを介して実行された、軽量の Ruby スクリプトだった」と説明している。

このスクリプトは、第２段階のペイロード FULLHOUSE.DOORED をダウンロード／実行するように設計されており、STRATOFEAR や TIEDYE などの追加のマルウェアを展開するための導線として使用される。

• FULLHOUSE.DOORED：C/C++ベースの第一段階のバックドアであり、HTTP を使用して通信し、シェル・コマンド実行／ファイル転送／ファイル管理／プロセス・インジェクションをサポートする。
• STRATOFEAR：主にシステム情報を収集し、リモートのサーバやディスクからモジュールを取得／実行するように設計された、第２段階のモジュール型インプラント。
• TIEDYE：セカンドステージの Mach-O 実行ファイルで、リモートサーバと通信し、追加のペイロードを実行し、基本的なシステム情報を収集し、シェル・コマンドを実行する。

また、TIEDYE は、TCP 上のカスタム・バイナリ・プロトコルを介して通信し、リバースシェル／ファイル転送／プロセス作成／プロセス終了などを行う。別のバックドアであり、C++ で書かれている RABBITHUNTとの、類似性を示すと言われている。

Mandiant は、「今年の初めには、Trading Technologies X_TRADER アプリケーションと、3CX Desktop App ソフトウェアを組み合わせた、DPRK によるサプライチェーン侵害が報告されている。それは、JumpCloud を標的としたキャンペーンについても言えることだが、サービス・プロバイダーへのアクセスから、下流の被害者を侵害していくという、連鎖的な効果を例証している」と述べている。

同社は、「この２つのオペレーションについては、経済的な動機を持つ DPRK アクターとの関係が疑われている。これまでは、暗号通貨とフィンテック関連に関連する資産を標的としてきたが、特定のエンティティを標的とするサプライチェーン TTP を実施している」と示唆している。

つい先日には、ブロックチェーン／暗号通貨／オンライン・ギャンブル／サイバー・セキュリティなどの企業で働く従業員を騙して、npm でホストされている悪意のパッケージとの依存関係を持つ、GitHub リポジトリ内のコードを実行させるソーシャル・エンジニアリング攻撃を、TraderTraitor が実行したと GitHub が警告していた。その数日後に、今回のインシデントが発覚している

その感染チェーンは、悪意の npm 依存関係を利用して、この脅威アクター管理するドメインから、未知の第２段階ペイロードをダウンロードさせることが判明している。その後に、問題のパッケージは削除され、アカウントは停止された。

Phylum は、「同じキャンペーンで使用された、新しい npm パッケージが発見された。この、特定されたパッケージはペアで公開され、特定の順序でインストールする必要がある。その後に、最終的なペイロードのダウンロードを容易にするトークンを、リモートサーバから取得する。こうした、悪意のエコシステムがもたらす、広大な攻撃範囲は無視できない。今日の世界において、オープンソースのパッケージに依存しない開発は、現実的に不可能だ。こうした現実が、爆発半径を最大化することにつながり、ランサムウェアなどのマルウェアの広範囲での配布に悪用される」と指摘している。

長い期間にわたって北朝鮮は、暗号通貨強奪を利用することで、核兵器プログラムへの制裁を回避してきたが、それと同時に、政権の優先事項を支援する戦略的な情報の収集のために、サイバースパイ攻撃を画策してきた。

昨年の時点で Mandiant は、「北朝鮮の諜報機関は、国家的なニーズに基づき、サイバー部隊を編成する柔軟性と回復力を持っている。さらに、インフラ／マルウェア／戦術／技術／手順が重複していることから、その悪意のサイバー活動には、共有されているリソースが有ると考えられる」と述べている。

現時点において Lazarus Group も、国家に支援された脅威アクターであることに変わりはなく、RAT／バックドア／ランサムウェアにいたるまでの、あらゆるものを提供するための攻撃を一貫して行い、分析を妨げるだけではなく、追跡を困難にするための戦術やテクニックを、容易に転換できる状態を示している。

AhnLab Security Emergency Response Center (ASEC) によると、このグループの能力は、脆弱性のある Microsoft IIS サーバを侵害するだけでなく、韓国を狙った水飲み場攻撃でマルウェア配布センターを運営する活動などに代表される。

ASEC は、「この脅威アクターは、パッチが適用されていないシステムへの初期アクセスのために、脆弱性を狙う攻撃を継続的に用いている。この脅威アクターは、世界中で極めて活発に活動している、最も危険な脅威集団の１つである」と述べている。

北朝鮮の RGB が支援する第２のグループ Kimsuky は、地政学的なイベントや交渉に関する情報の収集に重点を置いており、Chrome リモート・デスクトップを悪用する AppleSeed などのバックドアにより、侵害済のホストをリモートで乗っ取っていく。

今月に ASEC は、「Kimsuky APT グループは、韓国のユーザーに対して継続的にスピアフィッシング攻撃を仕掛けている。電子メールに添付された偽装文書ファイルを通じてマルウェアを配布しており、これらのファイルを開いたユーザーは、システムを制御できなくなる可能性がある」と指摘している。

JumpCloud ハッキングに関する第二弾の報道であり、北朝鮮の RGB に属する脅威アクターの関与が明確になったようです。なお、第一弾の報道は、2023/07/18 の「JumpCloud で APT データ侵害：顧客データの漏洩により深刻化している」ですが、そのときには UNC4899／APT43 の名前は出ていませんでした。よろしければ、カテゴリ APT も、ご参照ください。