コンテンツにスキップするには Enter キーを押してください

北朝鮮、韓国人をランサムウェアで攻撃

投稿日 2025年8月14日

北朝鮮と韓国の国旗が重なって折りたたまれている

出典:Aleks Taurus(Alamy ストックフォト経由)

著名な北朝鮮の脅威グループが、情報窃取型マルウェア、バックドア、ランサムウェアを用いた新たなキャンペーンを開始し、韓国の標的に対して攻撃を行っています。

大まかに言えば、各主要なサイバー大国には、それぞれを際立たせる特徴があります。たとえばロシアは、歴史的に最も効果的な偽情報キャンペーンを展開してきました。イスラエルの悪意ある攻撃者は、最も悪質なスパイウェアを開発します。そして、金正恩の資金難に後押しされ、北朝鮮のハッカーは、国家によるものというよりもむしろ小規模なサイバー犯罪者にふさわしい、金銭目的のサイバー攻撃を長年にわたり行ってきました。

最近では、他国の高度持続的脅威(APT)がサイバー犯罪に手を染め始めています。しかし、北朝鮮は常に最前線にいます。今夏も続くキャンペーンで、「ChinopuNK」—よく知られたScarcruft(別名APT37)のサブグループ—は、韓国の標的をスパイするだけでなく、ランサムウェアで感染させています

Scarcruftの新たなツールセット

韓国のS2Wの研究者たちは、Scarcruftの最新キャンペーンを7月にまで遡って追跡しています。しかし、いくつかのマルウェアサンプルのヘッダーには2月の日付が記録されており、活動はそれ以前から行われていた可能性もあります。

攻撃は、おそらくフィッシングメールから始まります。このグループは、郵便番号更新の偽通知を装い、住所変更に関する重要そうな情報で被害者を誘い込もうとしています。

郵便番号の偽装文書を開いた人は、「NubSpy」というバックドアもダウンロードすることになります。これはコマンド&コントロール(C2)にクラウドサービス「PubNub」を利用しています。Scarcruftは以前からPubNubを利用しており、PubNubはアプリやデバイス間のリアルタイム通信を可能にするインフラやAPIを提供する、正規かつ人気のあるプラットフォームです。

NubSpyのほか、攻撃者は以下のようなプログラムも展開しています:

  • 「FadeStealer」:リムーバブルデバイスの情報、スクリーンショット、キーストローク、マイク録音などを記録

  • 「LightPeek」:スクリーンショットを取得し、ファイルリストを収集する新しいPowerShell型の情報窃取ツール

  • 「TxPyLoader」:「トランザクション・ホローイング」という手法を使い、正規のWindowsプロセスにマルウェアを注入し、ターゲットディスクに証拠を残しません

継続的なスパイ活動を可能にするため、攻撃者は「ChillyChino」と呼ばれるシンプルなPowerShellバックドアの亜種を、Rustプログラミング言語で書き直して使用しています。S2Wは、機能が元のものと同等であることから、ChinopuNKが検知回避のためにChillyChinoバックドアを書き直した可能性が高いと推測しています。

このキャンペーンでは、少なくとも9種類のマルウェアツールが確認されています。「このアプローチは過剰というより戦略的なものに見えます」とS2W USAのマネージングディレクター、ロバート・ハン氏は述べています。「情報窃取ツールやバックドアは、ランサムウェアによる標的型暗号化や偵察を可能にします。高度な回避技術(例:トランザクション・ホローイング、Rustベースのマルウェア)は、複数のツールを展開しても“ノイズ”を減らします。そして複数のマルウェアタイプは冗長性をもたらし、1つのコンポーネントが検知・削除されても持続性を確保します。」

国家主導のランサムウェア

これら新たなツール群の中でも、「VCD」と呼ばれるランサムウェアプログラムが際立っています。これは暗号化したファイルに「.vcd」という拡張子を付与することから名付けられました。

多くのロッカー型ランサムウェア、特にRaaS(ランサムウェア・アズ・ア・サービス)として販売されているものとは異なり、VCDは標的に合わせて細かくカスタマイズされています。たとえば、身代金要求文書は英語と韓国語の両方で作成されます。また、最近観測された攻撃では、バイナリに暗号化対象のファイルパスリストがハードコーディングされており、ChinopuNKの他の情報窃取型マルウェアで得た情報が、各VCDサンプルを標的ごとに個別カスタマイズするために使われた可能性があります。

より広い文脈で見ると、VCDは政府の指示で活動していると推定される組織によって使用されている点で際立っています。これは北朝鮮特有の現象です—KimsukyグループはBlackBitランサムウェアを攻撃に使用し、Andariel(別名Silent Chollima、Onyx Sleet)はMauiを、Moonstone SleetはQilinを使用しています。とはいえ、ハン氏は「Scarcruftによるランサムウェアの展開はグループとしては珍しく、従来のスパイ活動からの大きな転換点です。この戦術は、金銭的・心理的な圧力の両方を目的としている可能性があり、国家レベルのスパイ活動とサイバー犯罪型の収益化を組み合わせて国家収入を得るという、北朝鮮全体の傾向を反映しています」と述べています。

さらに「これは、韓国やアジアの脅威環境において、多目的・多段階型攻撃への移行を示唆しています。スパイ活動に特化したツールと、金銭的または破壊的な動機を持つマルウェアを組み合わせることで、グループは長期的な情報収集と短期的な金銭的・破壊的成果という複数の目標を同時に追求できるようになります」とも付け加えています。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/north-korea-attacks-south-koreans-ransomware

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です