Blacksmith という APT オペレーション:Log4J の脆弱性を Lazarus が狙っている

Operation Blacksmith: Lazarus Exploits Log4J Flaws To Deploy Dlang Malware

2023/12/12 SecurityAffairs — 北朝鮮に関連する APT グループ Lazarus が、Log4j の脆弱性を悪用して、これまで文書化されていなかった RAT (remote access trojans) を展開するという、新たなハッキング・キャンペーンを操っている。Cisco Talos の研究者たちは、このキャンペーンを “Operation Blacksmith” として追跡しているが、この国家に支援される脅威アクターは、少なくとも3種類の新たな DLang ベースのマルウェア・ファミリーを採用している。それらのマルウェアのうち2系統は RAT であり、NineRAT と DLRAT という名前で追跡されている。また、NineRAT は、C2 通信のために Telegram のボットとチャンネルに依存している。


Talos によると、NineRAT は 2022年5月頃に構築されたと言われているが、2023年3月に Operation Blacksmith の一部として発見されているという。2023年3月に、この脅威アクターは南米の農業組織を攻撃した。さらに専門家たちは、2023年9月頃に、欧州の製造企業に対する NineRAT 攻撃を観測している。

Operation Blacksmith では、Log4Shell として知られる、脆弱性 CVE-2021-44228 が悪用されている。

Talos の研究者たちは、APT グループである Onyx Sleet (別名 PLUTIONIUM/Andariel) の活動が、2023年10月に Microsoft が開示した悪意の活動と、重複していると報告している。

2023年6月に Kaspersky の研究者たちは、北朝鮮に関連する APT グループ Andariel が、2022年の攻撃で Log4Shell を悪用し、EarlyRat という新たなマルウェアを使用していたことを報告した。

Talos のレポートには、「私たちが観測した攻撃では、脆弱性のある一般向けサーバへのイニシャル・アクセス手段として、VMWare Horizon サーバ上で Log4Shell CVE-2021-44228 の悪用に成功している。この巧撃における予備的な偵察は、感染させたシステムへのカスタム・メイド・インプラントの展開につながる、最初のアクセスの後に行われる」と記されている。

Lazarus APT Log4J


なお、遅くとも 2015年から、Andariel APT (別名 Stonefly) は活動しており、北朝鮮政府に由来するいくつかの攻撃に関与してきた。Lazarus APT 傘下には、いくつかのサブグループが存在し、それぞれが防衛/政治/国家安全保障/研究開発といった特定の目的を持っている。

研究者たちの報告によると、各サブグループは独立したキャンペーンを行い、完全な連携を行うことなく、特定のターゲット向けにカスタマイズされたマルウェアを展開している。たとえば Andariel は、サイバースパイ・キャンペーンのイニシャル・アクセスおよび、偵察と長期的なアクセス確立を担当している。さらに Andariel は、医療機関に対するランサムウェア攻撃にも関与したことがあるという。

また、この脅威アクターは、Microsoft が詳述しているカスタム・プロキシ・ツール HazyLoad を、Operation Blacksmith で使用している。HazyLoad は、BottomLoader と呼ばれる第3の DLang マルウェアを通じて配信されている。

以下は、Talos が Operation Blacksmith で観測した攻撃チェーンである:

Lazarus による最初の偵察:この APT グループは、脆弱性 CVE-2021-44228 の悪用により、イニシャル・アクセスを獲得する。

Lazarus による NineRAT の展開:NineRAT は DLangで書かれており、MagicRAT や QuiteRAT などの Qt フレームワークといった、非伝統的なフレームワークを使用して作成されている。この種のマルウェアの採用が増加していることから、Lazarus 傘下の APT グループの TTP は、大きく変化していることが示される。

NineRAT がアクティブになると、Telegram ベースの C2 チャネルから予備コマンドを受け取り、感染させたシステムのフィンガープリントを再び採取する。感染させたシステムのフィンガープリントの再作成は、NineRAT を介して Lazarus が収集したデータが、他の APT グループに共有されている可能性があることを示している。

本質的に、イニシャル・アクセスおよびインプラントの展開段階で、Lazarus により収集されたフィンガープリント・データとは、異なるリポジトリに存在することを示している。

つい先日の 2023/12/10 に、「Apache Log4j アプリの 30%以上が脆弱なライブラリを使用している」という記事がポストされていました。それぞれのユーザーに、それぞれの事情があるのでしょうが、脆弱な Log4j が、いまも大量に利用されているという状況が浮き彫りにされていました。この種の情報は、脅威アクターたちにとっても有益なものであり、修正されない脆弱性を狙う攻撃が、再登場してきたようです。よろしければ、Log4j で検索も、ご利用ください。