ラザルス・グループ、欧州のドローン製造データを狙う

出典：DC Studio via Shutterstock

北朝鮮の執拗なラザルス・グループが再び動き出し、今回はヨーロッパのドローン製造企業を標的に、平壌のために独自情報や製造ノウハウを盗み出そうとしています。

このキャンペーンを追跡しているESETの研究者によると、これまでにラザルスが攻撃した少なくとも3つの組織が特定されており、いずれも中欧および南東欧に位置しています。標的となった組織は、無人航空機（UAV、いわゆるドローン）を含む様々な軍事装備を製造しており、その一部はウクライナがロシアとの戦争で使用しています。

北朝鮮の利益と一致

これらの攻撃は、北朝鮮が他国から盗んだ独自データを活用し、国内のドローンプログラムを強化しようとする動きと一致しています。「これらの組織は、北朝鮮が国内でも製造している種類の軍需品の生産に関与しており、同国は自国の設計やプロセスを完成させることを望んでいる可能性があります」とESETは今週のレポートで明らかにしています。「UAV関連のノウハウへの関心は注目に値し、平壌が国内のドローン製造能力に多額の投資を行っているという最近の報道とも一致しています。」

ESETは、このドローンデータ窃盗キャンペーンが「Operation DreamJob」の最新のバージョンであると評価しています。ここでラザルスの攻撃者は、求人を装った文書を使って被害者をマルウェアインストールに誘導しています。この手口は、化学業界、情報技術企業、金融サービス、ソフトウェア開発者など、他の分野へのサイバースパイ活動でも使われています。

このドローンキャンペーンの主なペイロードはScoringMathTeaというリモートアクセス型トロイの木馬（RAT）で、ラザルスの攻撃者に感染したマシンへのインタラクティブな制御を与えます。この攻撃者は、少なくとも2022年から感染後のRATとしてこれを使用しており、当初はAirbusを装った求人詐欺としてVirusTotalに登場しました。ScoringMathTeaは約40のコマンドをサポートしており、ファイルやプロセスの操作、システム偵察、追加の悪意あるペイロードのダウンロード・実行などが可能です。

安定した高度な武器

ESETによると、ScoringMathTeaはOperation DreamJobキャンペーンにおけるラザルスの主要なペイロードとなっています。2023年1月のインドのテクノロジー企業、2023年3月のポーランドの防衛企業、2023年10月の英国の産業オートメーション企業、そして先月のイタリアの航空宇宙企業への攻撃で確認されています。

意外なことに、ScoringMathTea自体は最初に発見されて以来、ほとんど変化していないとESETの上級マルウェア研究者ピーター・カルナイ氏はDark Readingへのコメントで述べています。「ScoringMathTea RATは、機能セットがほぼ同一で、目立った変更はありません」と述べています。

これは、攻撃者が高度さよりも運用の単純さと安定性を重視していることを示唆しており、ラザルスが他のRAT（LightlessCanなど）でも示してきた傾向です。「さらに、ScoringMathTeaは実行チェーンの最終段階ではない可能性が高く、追加DLLのロードによって機能拡張が可能で、実質的にプラグインとして動作します。」

最も大きな変化は、ラザルス・グループがDLLプロキシ用に設計された新しいライブラリや、GitHub上の侵害されたオープンソースプロジェクトを利用してマルウェアを隠蔽するようになった点です。カルナイ氏によれば、ESETはラザルスの攻撃者がGitHubアカウント自体を侵害してプロジェクトをトロイ化した証拠は発見していません。代わりに、Notepad++やWinMergeのプラグインなど、あまり人気のないオープンソースプロジェクトを選び、ローカルでコードを改変し、標的システムに展開して標準的な検出メカニズムを回避しようとしました。

このようなキャンペーンは、従業員の脅威認識が重要である理由を浮き彫りにしているとカルナイ氏は述べています。もう一つの側面は、機密性の高い分野におけるサイバー攻撃に関する一般的な方針です。「現状では、たとえ行政機関がセキュリティ勧告を出しても、民間企業にはそれを確認したり遵守したりする義務はありません」と彼は言います。「さらに、セキュリティインシデントの深刻度が一定の閾値に達しない限り、企業は当局への報告義務もありません。そうでなければ、インシデント対応プロセスの結果を共有する必要すらないのです。」