北朝鮮のラザルス脅威グループは、防衛分野で活動するヨーロッパ拠点の3社を昨年春に攻撃し、ドローンの部品やソフトウェアに関する機密情報を盗み出そうとした可能性があると、ESETの研究者が木曜日に発表したレポートで述べました。
スパイ活動、破壊工作、金銭的利益を専門とする北朝鮮の長年にわたる高度持続的脅威グループによる攻撃は、3月下旬に金属工学会社、航空機部品メーカー、防衛企業を標的としました。
ラザルスが追求した目的は確認されていませんが、研究者は北朝鮮にとって材料製造やドローン開発に関する情報など、複数の潜在的な利益を特定しました。
ESETは、これらの攻撃が軍事装備を供給する企業を標的としており、その一部は現在ウクライナで使用されていると指摘しています。標的となった企業の一つは、現在ウクライナで使用されている少なくとも2機の無人航空機の製造に関与しており、北朝鮮が前線でこれらに遭遇した可能性があるとレポートは述べています。
標的となった企業はまた、平壌が積極的に開発している高度な単一ロータードローンなど、北朝鮮のドローン製造プログラムを強化し得る専門的な情報も有しているとESETは述べています。
「オペレーション・ドリームジョブは、少なくとも一部はUAVに関する独自情報や製造ノウハウの窃取を目的としていた可能性が高いと考えています」と研究者はレポートで述べています。
ESETは、今回の攻撃をラザルスグループのオペレーション・ドリームジョブ作戦によるものとし、これは高収入で注目度の高い職の偽求人を使ったソーシャルエンジニアリングによって標的ネットワークへの初期アクセスを得る手法だとしています。
ラザルスは標的に職務内容を記載したおとり文書と、ファイルを開くためのトロイの木馬化されたPDFリーダーを送付しました。これらの攻撃で展開された主要なリモートアクセス型トロイの木馬「ScoringMathTea」により、攻撃者は侵害されたマシンを完全に制御できたと研究者は述べています。
ESETによると、ScoringMathTeaは2022年以降ラザルスが好んで使用しているペイロードであり、これまでにもインド拠点のテクノロジー企業、ポーランド拠点の防衛企業、イギリスの産業オートメーション企業、イタリアの航空宇宙企業に対する同様の攻撃で観測されています。
「この予測可能でありながら効果的な戦略は、グループの身元を隠したり帰属の特定を困難にするには不十分であっても、セキュリティ検知を回避するのに十分な多様性をもたらします」と研究者はレポートで述べています。
これらの攻撃で観測されたマルウェアドロッパーはすべて「DroneEXEHijackingloader.dll」という名前のダイナミックリンクライブラリファイルを含んでおり、ESETはこれを攻撃者がドローン技術に注目しているさらなる証拠と見なしています。
ESETは、これらの攻撃を調査する中で観測したバイナリや侵害指標を公開しました。研究者は、ドローン分野の他の組織も北朝鮮の攻撃者に標的とされる可能性があると警告しています。
翻訳元: https://cyberscoop.com/north-korea-lazarus-attacks-drone-companies/
