北朝鮮のTA406がウクライナを標的に情報収集

出典: DC Studio via Shutterstock

北朝鮮支援の脅威グループTA406は、ウクライナの政府機関を標的にして、ロシアの侵略に対抗するウクライナの継続的な意欲と能力に関する情報を収集しようとしているようです。

このキャンペーンは、ウクライナに既に配備されている北朝鮮の人員に対するリスクを評価し、モスクワからの将来的な追加の軍事支援要請の可能性を測るためのものと見られています。これはProofpointの新しい報告によるものです。

ある種の転換

ウクライナでの攻撃は、歴史的にロシア、アメリカ、韓国、ロシアの政府および外交機関を標的にしてきたTA406にとって、ある種の転換を示しています。戦略的情報収集活動。しかし、グループの戦術、技術、手順は、ウクライナでの攻撃においても、最近のキャンペーンで観察されたものと密接に一致しており、マルウェアの配布とターゲットネットワークからの資格情報の収集を含んでいます。

「TA406のキャンペーンは、北朝鮮の体制関係者のための戦略的情報収集を補完する可能性があります」とProofpointの上級脅威研究者Greg Lesnewichは述べています。Lesnewichは、TA460がウクライナの紛争における決意を評価し、モスクワからの追加の部隊支援が求められるかどうかを北朝鮮の関係者が判断するのを助けるために政治情報を標的にしているようだと述べています。

関連:パハルガム攻撃後、ハクティビストが#OpIndiaの下で団結

Lesnewichは、Proofpointは現在、同じエンティティを標的にしたり、同様の作戦を行っている他の北朝鮮の侵入クラスターを知らないと付け加えています。

Proofpointがウクライナで観察した攻撃では、TA406のアクターは、架空のシンクタンク「王立戦略研究所」に所属する架空の上級フェローから標的の個人にフィッシングメールを送信しました。フィッシングメールには、MEGAファイルホスティングサービスにホストされたパスワード保護されたアーカイブファイル「AnalyticalReport.rar」をダウンロードするリンクが含まれていることが多かったです。

ターゲットがRARファイルを開くと、ウクライナの軍事指導者Valeriy Zaluzhnyiに関する偽のコンテンツを表示するHTMLファイルを含むコンパイルされたHTMLヘルプ（CHM）ファイルが解凍されます。意図された被害者がページをクリックすると、悪意のあるウェブサイトに接続して追加の悪意のあるコードをダウンロードして実行するPowerShellスクリプトが実行されます。ターゲットがすぐに反応しない場合、TA406はメールを見たかどうかを尋ね、ファイルをダウンロードするよう促すプッシュメールを送信しました。

後期段階のPowerShellスクリプト

ProofpointがウクライナキャンペーンでTA406が使用していると観察した次の段階のPowerShellスクリプトは、「ipconfig /all」などのコマンドを実行してネットワーク情報を取得し、「systeminfo」でシステムの詳細を収集することで、被害者のコンピュータの詳細を掘り起こしました。このスクリプトは、最近のファイルやディスク情報を見つけるための他のコマンドを使用し、Windows Management Instrumentation（WMI）を使用してウイルス対策ソフトウェアをチェックしました。悪意のあるコードは、影響を受けたシステムから収集したすべてのデータをまとめ、Base64でエンコードして、攻撃者が制御するウェブサイトにデータを送信しました。その後、PowerShellスクリプトはコンピュータのAPPDATAフォルダに「state.bat」という新しいファイルを作成し、システムが起動するたびに自動実行されるように設定し、持続性を確保しました。

関連:「レモン・サンドストーム」が中東インフラへのリスクを強調

場合によっては、ProofpointはTA406が最初のフィッシングメールにHTMLファイルを直接含めていることを観察しました。このファイルには、クリックするとTA406が制御するサイトからzipアーカイブをダウンロードするリンクが含まれていました。アーカイブファイルには無害なPDFと、悪意のあるショートカットファイル（LNK）「Why Zelenskyy fired Zaluzhnyi.lnk」が含まれていました。開かれると、LNKファイルは隠されたPowerShellスクリプトを実行し、JavaScriptファイルを起動するスケジュールされたタスクを設定しました。このスクリプトは、PowerShellを使用して実行するためのさらなる指示を求めて攻撃者が制御するサイトに接続しました。Proofpointは、最終的なペイロードが分析中に利用できなかったため、その後何が起こったかを見ることができませんでしたとセキュリティベンダーは述べています。

関連:PlayランサムウェアグループがWindowsゼロデイを使用

同じキャンペーンの一環として、TA406はProton Mailのメールアカウントを使用してウクライナ政府のターゲットに偽のMicrosoftセキュリティアラートを設定しました。メールは、異なるIPアドレスからのアカウントへの異常なログイン試行について受信者に警告し、リンクをクリックして活動を確認するよう促しました。指示に従ったユーザーは、資格情報収集サイトに誘導されました。

「北朝鮮は2024年秋にロシアを支援するために部隊を派遣し、TA406は既に現地にいる部隊への現在のリスクを北朝鮮の指導者が判断するのを助けるために情報を収集している可能性が非常に高い」とLesnewichとProofpointの研究者Saher NaumaanおよびMark Kellyは報告書に書いています。「ウクライナの部隊を現地で標的にするように命じられた可能性のあるロシアのグループとは異なり、TA406は通常、より戦略的で政治的な情報収集活動に焦点を当てています。」

TA406は、Proofpointが他のベンダーが「Kimsuky」として追跡している悪意のある活動の傘下の一部として追跡している3つのグループの1つです（他の2つはTA408とTA427です）。グループの他の名前には「Thallium」や「Konni Group」が含まれます。

Proofpointは、TA408またはTA427がウクライナのエンティティを直接標的にしているのを観察していないとLesnewichは述べています。「Proofpointは、ロシアが侵攻を開始する前からTA427がウクライナに関する情報に興味を持っているのを観察してきましたが、常に西側のエンティティを標的にしてそのような情報を収集してきました」と彼は付け加えます。

TA406は少なくとも2012年から活動しており、マルウェアと資格情報収集戦術の両方を使用してターゲットネットワークに侵入し、北朝鮮の担当者にとって興味のある情報を収集することで知られています。生活の場を利用する戦術に加えて、TA406は、Konni、Sanny、BabyShark、Amadeyを含むいくつかの異なるマルウェアツールとも関連付けられています。最近では、Securonixの研究者が、傘下グループのメンバーが偽の作業ログ、暗号ファイル、保険文書を使用して、韓国のユーザーにシステム情報を収集し、PowerShellスクリプトを実行する悪意のあるショートカットファイルをダウンロードさせることを観察しました。