ドイツの連邦情報局(BfV)と韓国の国家情報院(NIS)は、北朝鮮政府のために世界の防衛産業を標的とした継続中のサイバースパイ活動に関する警告を発しました。この攻撃は、先進的な軍事技術情報を盗み出し、北朝鮮の従来の武器を近代化し、新たな軍事能力を開発することを目的としています。
今日の共同サイバーセキュリティアドバイザリー(韓国語およびドイツ語でも利用可能)では、北朝鮮のアクター、その中にはラザロスグループも含まれる2つのケースが取り上げられ、攻撃者が使用した戦術、技術、手順(TTP)が提供されています。
サプライチェーン攻撃
アドバイザリーによると、最初のケースは2022年末に発生し、「北朝鮮のサイバーアクターが海事および船舶技術の研究センターのシステムに侵入し、ターゲット組織のウェブサーバー保守業務を管理する企業を侵害することでサプライチェーン攻撃を実行した」とされています。
侵入者は、SSH認証情報の窃盗、正規ツールの悪用、ネットワーク上での横移動、インフラストラクチャ上での隠蔽を含む攻撃チェーンを実行しました。
具体的には、以下の攻撃ステップがリストされています。
- ウェブサーバー保守会社を侵害し、SSH認証情報を盗み、研究センターのLinuxウェブサーバーにアクセス。
- curlなどの正規ツールを使用して悪意のあるファイル(トンネリングツール、Base64 Pythonスクリプト)をコマンド&コントロール(C2)サーバーからダウンロード。
- 横移動を実施:他のサーバーへのSSH確立、tcpdumpを使用したパケット収集、従業員アカウント認証情報の窃盗。
- 盗まれたアカウント情報を使用してセキュリティマネージャーになりすまし、PMS経由で悪意のあるパッチファイルを配布しようとしたが、本物のマネージャーによってブロックされた。
- ウェブサイトのファイルアップロード脆弱性を悪用して持続し、ウェブシェルをアップロードし、スピアフィッシングメールを送信。
ITサービスプロバイダーを最初に侵害することで、北朝鮮の脅威アクターは良好なセキュリティ体制を維持する組織に侵入することができ、両者の関係を利用して小さく慎重なステップで隠密攻撃を実行しました。
ソーシャルエンジニアリング
二つ目の例では、ラザロスグループの「Operation Dream Job」戦術が、防衛産業に対しても使用されたことが示されています。これは、北朝鮮のアクターが暗号通貨企業の従業員やソフトウェア開発者を標的にする際に知られている戦術です。
これらの戦術は既知ですが、組織が従業員にサイバー攻撃の最新トレンドについて教育しない限り、成功する可能性があります。