北朝鮮の工作員が求職者を騙してデバイスに悪意のあるコードをインストールさせる手口で、新たなマルウェアや技術が使用されていることが確認され、認証情報や暗号通貨の窃取、ランサムウェアの展開が行われていると、Cisco TalosおよびGoogle Threat Intelligence Groupの研究者が報告しました。
Cisco Talosは、Famous Chollimaに関連する攻撃を観測したと述べており、BeaverTailとOtterCookieという、北朝鮮に連携する脅威グループが頻繁に使用する別個だが補完的なマルウェアが使われていたとしています。研究者によると、BeaverTailとOtterCookieがどの程度統合され、最近のキャンペーンで新たな機能を示しているかを分析で特定したといいます。
GTIGは、UNC5342がEtherHidingを使用していることを観測したと述べています。これは、パブリックブロックチェーンを分散型コマンド&コントロールサーバーに変えるJavaScriptペイロード形式の悪意あるコードです。研究者によると、UNC5342はEtherHidingを、Palo Alto Networksが以前「Contagious Interview」と名付けた北朝鮮連携のソーシャルエンジニアリングキャンペーンに組み込んだとのことです。
CiscoとGoogleはともに、北朝鮮の脅威グループがより専門的かつ回避的なマルウェアを使用していることは、国家支援攻撃者が複数の目的を達成しつつ、より一般的な検知手法を回避しようとしている努力を強調していると述べています。
ブロックチェーン上にEtherHidingをインストールすることで、UNC5342はマルウェアの機能をリモートで更新し、インフラの停止や妨害を心配することなく継続的に作戦をコントロールできます。
「この進展は、国家支援の脅威アクターが法執行機関による摘発に耐えうる、かつ新たなキャンペーンに容易に改変可能なマルウェアを配布するための新技術を利用し始めていることから、脅威状況のエスカレーションを示しています」と、Google傘下のインシデント対応企業Mandiantのコンサルティングリーダー、ロバート・ウォレス氏はメールで述べています。
Googleの研究者は、北朝鮮のソーシャルエンジニアリングキャンペーンを、スパイ活動を行い、企業ネットワークへの持続的なアクセスを獲得し、就職活動や面接の過程で機密データや暗号通貨を盗むための高度かつ継続的な取り組みだと説明しています。
これらの攻撃の核心は、Googleによると、偽の技術評価の際に発生することが多く、求職者が知らずに悪意のあるコードを含むファイルをダウンロードさせられる場面で起こります。研究者は、JadeSnow、BeaverTail、InvisibleFerretを含む多段階のマルウェア感染プロセスを観測しました。
Cisco Talosの研究者は、スリランカに拠点を置く非公開の組織に対するFamous Chollimaの攻撃を発見しましたが、これは偽の求人に騙されたユーザーが発端である可能性が高いとしています。報告書によると、その組織自体は攻撃者の標的ではありませんでした。
研究者は、これまで文書化されていなかったキーロギングおよびスクリーンショット取得モジュールをこのキャンペーンで観測し、それをOtterCookieのサンプルにまで追跡しました。情報窃取型マルウェアには、キーストロークを監視し、デスクトップセッションのスクリーンショットを定期的に撮影して自動的にOtterCookieのコマンド&コントロールサーバーにアップロードするモジュールが含まれていたとCisco Talosは述べています。
CiscoとGoogleはそれぞれのレポートで、脅威ハンターが北朝鮮の脅威グループによる悪意のある活動の追加的な痕跡を発見できるよう、侵害の指標を共有しました。
翻訳元: https://cyberscoop.com/north-korea-attackers-evasive-techniques-malware/
