北朝鮮のラザルスハッカーは、偽のリクルート手口を利用した協調的な「Operation DreamJob」キャンペーンを通じて、欧州の防衛分野の3社を侵害しました。
この脅威グループの活動は3月下旬に検知され、無人航空機(UAV)技術の開発に関わる組織が標的となりました。
「Operation DreamJob」は、ラザルスが大手企業(実在または架空)のリクルーターを装い、関心のある組織の従業員に対して高待遇の職務オファーを持ちかけるという、長期にわたるキャンペーンです。
標的は、ハッカーがターゲット企業のシステムにアクセスできるようになる悪意のあるファイルをダウンロードするように騙されます。
この手法は、過去に暗号資産やDeFi企業、ソフトウェア開発者、ジャーナリスト、セキュリティ研究者、さらに防衛分野、航空宇宙産業の組織に対しても使われてきました。
サイバーセキュリティ企業ESETの研究者によると、最近分析したOperation DreamJobでは、ラザルスはUAV関連技術に焦点を当てており、これは現在の地政学的な動向と一致し、西洋の設計に「触発」された北朝鮮のドローン兵器開発の強化と重なっています。
ドローン部品メーカーを標的に
ESETは3月下旬、「野外での[DreamJob]攻撃が、東南ヨーロッパの金属工学企業、航空機部品メーカー、そして中央ヨーロッパの防衛企業を連続して標的にした」と観測しました。
しかし、サイバーセキュリティ企業は、ハッカーが3社を標的にした際の成功の詳細については明らかにしていません。
これら3社はいずれも、自国の軍事支援の一環として現在ウクライナに配備されている軍事装備を製造しています。
そのうち2社は、「明らかにUAV技術の開発に関与しており、1社は重要なドローン部品を製造し、もう1社はUAV関連ソフトウェアの設計に携わっていると報告されています。」
感染経路を分析したところ、被害者がMuPDFビューア、Notepad++、WinMergeプラグイン、TightVNC Viewer、libpcre、DirectXラッパーなどのトロイの木馬化されたオープンソースアプリケーションやプラグインを起動したことから始まっていました。
トロイの木馬化されたDLLまたはマルウェアドロッパーの読み込みは、正規だが脆弱なソフトウェアを利用して悪意のあるペイロードを読み込む回避技術であるDLLサイドローディングによって実行されました。
次の段階では、ペイロードが復号化され、MemoryModuleスタイルのルーチンを使ってメモリ上に直接ロードされます。
最終段階のマルウェアはScoringMathTea RAT(リモートアクセス型トロイの木馬)で、コマンド&コントロール(C2)インフラと通信を確立し、指示を待ちます。
別の感染経路では、RATの代わりにBinMergeLoader(MISTPEN)というマルウェアローダーが使用され、Microsoft Graph APIとトークンを悪用して追加のペイロードを取得します。
出典:ESET
ScoringMathTea RATは2023年に初めて文書化され、最新バージョンでは40のコマンドをサポートしており、攻撃者にコマンド実行から新たなマルウェアの投入まで幅広い運用の柔軟性を与えています。
「実装された機能はラザルスが通常必要とするものであり、ファイルやプロセスの操作、設定のやり取り、被害者のシステム情報の収集、TCP接続の確立、C&Cサーバーからダウンロードした新たなペイロードやローカルコマンドの実行などが含まれます」とESETは説明しています。
ESETは、Operation DreamJobの手口やソーシャルエンジニアリングの誘導が繰り返し報告で明らかにされているにもかかわらず、北朝鮮の脅威アクターにとって依然として有効な手段であり続けているとコメントしています。
サイバーセキュリティ企業は、防衛分野の欧州組織を標的にしたDreamJobキャンペーンでラザルスが使用したドメインや悪意のあるツールに関する包括的な侵害指標(IoC)を提供しています。
