出典:DD Images(Shutterstock経由)
北朝鮮の高度持続的脅威(APT)Blue Noroffは、暗号資産を盗み金正恩政権の資金調達を目的に、macOSプラットフォームへの攻撃を続けています。しかし、今年の2つの新たなキャンペーンの分析から、同グループがWindowsプラットフォームや他の分野にも焦点を移しつつあり、生成AIを活用して新たなマルウェアを作成する取り組みも強化していることが示されています。
BlueNoroffは、Sapphire Sleet、APT38などの別名でも知られ、2年以上にわたりSnatchCrypto作戦を静かに実行してきました。カスペルスキーの研究者が4月から追跡している2つのキャンペーンは、それぞれGhostCallとGhostHireと名付けられ、本日公開されたブログ記事で最新の調査結果がまとめられています。最初のキャンペーンはテクノロジーおよびベンチャーキャピタル(VC)の幹部を、2つ目はWeb3開発者を標的とし、いずれも高度なソーシャルエンジニアリングと様々なマルウェアを用いて被害者から認証情報やその他のデータを盗みます。
BlueNoroffは、銀行、VC企業、暗号資産取引所、スタートアップなどの金融機関やその利用者を標的とし、金銭的利益を追求する北朝鮮の攻撃者としてセキュリティ研究者の間で既によく知られています。今年のキャンペーンは、AIを活用してオペレーションを効率化し、高度なマルウェアを用いて財務目標を達成しようとする中で、macOSプラットフォームへの集中的な攻撃からさらに進化していることを示しています(カスペルスキー談)。
「我々の調査によれば、攻撃者はWindowsおよびmacOSシステムの両方を標的とするマルウェアの開発を、統一されたコマンド&コントロール(C2)インフラを通じて継続的に行っています」とカスペルスキーのSojun Ryu氏は投稿で述べています。「生成AIの活用により、このプロセスは大幅に加速され、運用負荷を軽減しつつ、より効率的なマルウェア開発が可能になっています。」
Blue Noroffはまた、認証情報や暗号資産の窃取という従来の活動を超え、「さまざまな資産にわたる包括的なデータ取得」にも乗り出している兆候が見られます。これにより、初期ターゲットだけでなく、その後の攻撃を容易にするためにデータを悪用する意図があるとRyu氏は述べています。これにより、サプライチェーン攻撃の実行や、既存の信頼関係を利用してより広範なユーザーに影響を及ぼすことが可能になります。
GhostCall、信頼性を拡大
GhostCallキャンペーンは、macOSデバイスを持つテクノロジーおよびベンチャーキャピタル幹部をTelegramなどのプラットフォームを通じて標的にし、投資機会やパートナーシップの協力を持ちかけます。場合によっては、実在する起業家やスタートアップ創業者の乗っ取られたアカウントからメッセージが送られ、その信頼性が高まるとRyu氏は述べています。
これらのメッセージはZoom風のフィッシングサイトに誘導され、被害者は偽の通話に参加できますが、「この脅威の他の実際の被害者の本物の録音」を使っており、ディープフェイクではないとRyu氏は投稿で述べています。通話が順調に進むと、攻撃者はユーザーにZoomクライアントのアップデートを促し、そのスクリプトが最終的に感染チェーンにつながるzipファイルをダウンロードさせるといいます。
カスペルスキーは、Microsoft、Huntability、Huntress、Field Effect、SentinelOneなどの様々なセキュリティ研究者もGhostCallを追跡し、既に調査結果を公開していることを認めていますが、同じ名称では呼んでいません。カスペルスキーの報告は新たなマルウェアチェーンやキャンペーンに関する洞察をカバーしています。
例えば、9月には同グループが偽ミーティングのプラットフォームとしてMicrosoft Teamsを使うようになったことをカスペルスキーが発見しました。「会議室に入ると、背景動画が始まった直後に、ターゲットのOSに特有のプロンプトがほぼ即座に表示されます。これは以前のZoomとほぼ同じですが、macOSユーザーにはSDKファイルのダウンロードを促す別のプロンプトも表示されます」とRyu氏は述べています。
研究者らはまた、マルチステージの実行プロセスを通じて様々なマルウェアが配布されていることも観察しました。キャンペーンでのペイロードには、DownTroyマルウェアローダー、RealTimeTroyバックドア、SilentSiphonマルチクレデンシャルスティーラー、CosmicDoorリモートコントロールマルウェアなどが含まれます。
偽リクルーター、クロスプラットフォーム化へ
一方、GhostHireはWeb3開発者に接近し、採用プロセスのスキル評価を装ってマルウェアを含むGitHubリポジトリをダウンロード・実行させる手口です。実際、北朝鮮の脅威アクターは、採用活動を誘い文句に使うことで悪名高く、実際にフリーランスの仕事に採用された例もあり、米国組織への侵入を試みています。
GhostHireキャンペーンの最新バージョンはクロスプラットフォーム対応を示しており、ユーザーエージェント(被害者の使用OSを識別)に応じて最終的なペイロードを選択します、とRyu氏は述べています。
最初の接触と簡単なスクリーニングの後、「リクルーター」はユーザーをTelegramボットに追加し、そこからzipファイルまたはGitHubリンクを送信します。その後、応募者は30分以内に課題を完了するよう求められます。これにより被害者は急いで悪意あるプロジェクトを実行し、実行後にペイロードがシステムにダウンロードされます。
「ZIPファイルで配布されるプロジェクトは、一見正当なGo言語で書かれたDeFi関連プロジェクトであり、暗号資産取引を様々なプロトコル間でルーティングすることを目的としています」とRyu氏は述べています。「メインのプロジェクトコードは、プロジェクト自身のファイルに悪意あるコードを直接埋め込むのではなく、go.modファイルで指定された外部の悪意ある依存関係に依存しています。」
このキャンペーンでBlue Noroffが使用した外部プロジェクトは「uniroute」と名付けられ、今年4月9日に公式Goパッケージリポジトリに公開されました。他にもGhostHireで配布されるマルウェアはGhostCallと類似しており、DownTroyやRealTime Troy、さらにWindows版CosmicDoorなどが含まれます。
金正恩支援活動の拡大
今年の北朝鮮指導者のためのBlue Noroffの悪意ある活動は、同グループがツールセットを拡大し、macOS以外のプラットフォームにも進出していること、さらにソーシャルエンジニアリングやAIの活用を洗練させ、より迅速かつ柔軟に行動していることを示しています(カスペルスキー談)。
「AI駆動のカスタマイズ手法により、攻撃者は詳細な情報をもとに巧妙に偽装し、より精密な標的型攻撃が可能になっています」とRyu氏は述べています。「侵害データとAIの分析・生産能力を組み合わせることで、攻撃者の成功率は明らかに向上しています。」
Blue Noroffを追跡するために、カスペルスキーはキャンペーンで展開された様々なマルウェアに関連するものを含む、包括的な侵害指標リストをブログ記事で公開しました。一般的に、ビジネスパーソンは知らない人物からの雇用提案や協業の申し出には注意し、必ず相手の身元と信頼性を確認してから対応するべきです。
翻訳元: https://www.darkreading.com/threat-intelligence/north-korea-bluenoroff-expands-crypto-heists
