出典: Skorzewiak / Shutterstock
防御側より一歩先を行くために、北朝鮮の脅威グループKimsukyは、攻撃プログラムの検出や解析をより困難にすることを目的とした新たなツールを韓国ユーザーに対して展開したと、脅威研究者は述べています。
このツールはHttpTroyと名付けられ、バックドアであり、感染したシステムへの完全なアクセス(ファイルの移動、スクリーンショットの取得、コマンドの実行など)を攻撃者に与えることを目的としています。サイバーセキュリティ企業Genの研究者が先週公開した分析で述べています。このバックドアは、韓国ユーザーを標的とした攻撃チェーンの最終段階であり、小型ドロッパー、その後にMemLoadと呼ばれるローダー、そしてHttpTroyバックドアで構成されています。
この攻撃は、Microsoft Windowsのスクリーンセーバー(.scr)ファイルを含むzipアーカイブで構成されており、ユーザーがファイルを開くと実行され、韓国語で書かれたPDF請求書を表示し、バックドアプログラムが動作するまで攻撃チェーンをロードしますと、サイバーセキュリティソフトウェアおよびサービス企業Genの脅威インテリジェンスディレクター、Michal Salát氏は述べています。
HttpTroyは「幅広いリモート操作をサポートし、通信の暗号化、ペイロードの難読化、メモリ内でのコード実行によってステルス性を高めています」と彼は言います。「高度なAPTとして、彼らは頻繁にペイロードを入れ替えたり再構築したりするため、HttpTroyはKimsukyが検知を回避するための新たな試みであるようです。」
北朝鮮の国家支援グループは、アジア太平洋地域、特に韓国の政府や、欧米の標的に対して様々な手法を用いて攻撃を行ってきました。Kimsukyと考えられるグループは、今夏、韓国の外交機関を標的に、パスワードで保護されたzipファイルを攻撃の配布手段として使用しました。9月には、同グループがAI生成のディープフェイク写真を使って軍用IDを作成し、ジャーナリストや人権活動家、研究者を標的とした攻撃を行いました。
正規サービスを利用した高度な難読化
効果的ではあるものの、HttpTroyはKimsuky脅威グループがすでに使用しているツールの単純な改良版だと、サイバーセキュリティ企業ESETのシニアマルウェア研究者Peter Kálnai氏は述べています。Kimsukyおよびもう一つの悪名高い北朝鮮グループLazarusは、ツールの検出や解析をより困難にすることに注力していると彼は言います。
「既存の解析回避機能により…彼らのペイロードの解析はすでに困難です」とKálnai氏は述べ、Kimsukyが商用の暗号化製品も利用していることを付け加えました。「この多層的なアプローチは、マルウェアのリバースエンジニアリングに必要な複雑さと時間を大幅に増加させます。」
KimsukyおよびLazarusグループの攻撃チェーンは、難読化や解析回避技術に大きく依存しており、防御をすり抜け、リバースエンジニアリングをより困難にしていますと、サイバーセキュリティプラットフォームプロバイダーSecuronixの脅威研究マネージャー、Aaron Beardslee氏は述べています。これらのグループは正規のサービスやWindowsプロセスを利用してセキュリティツールを回避し、多段感染チェーンの各段階で異なる暗号化手法を使って研究者の解析を遅らせます。メモリ常駐実行や動的API解決などの他の技術も、悪意あるコードが検知されるのを防ぐのに役立つと彼は言います。
時には、彼らは型破りな発想もするとBeardslee氏は述べています。
「攻撃者は常に新しい方法を探し、標的が導入する防御ツールに適応しようとします」と彼は言います。「私がこれまで見た中で最も悪質だったのは、実際の企業の採用プロセスで防御回避が行われていたことです。フォーチュン100企業の数十社が、知らずに北朝鮮出身のIT労働者を雇用していました。」
攻防戦は続く
企業は、ペイロードがディスクに痕跡を残さず直接メモリに読み込まれる場合でも検知できるよう、アンチマルウェアソリューションにメモリ内スキャン機能を備えていることを確認すべきです。さらに、脅威インテリジェンスは、特に暗号資産、金融システム、航空宇宙、防衛、韓国政府、医療関連組織など、頻繁に標的となる分野で攻撃者の手法に追いつくのに役立つとESETのKálnai氏は述べています。
ほとんどの攻撃は単純ですが、単純であることは静的であることと同義ではありません。マルウェアのモジュール性、たとえばLazarusグループが使用するThreatNeedleバックドアのようなものは、追加の攻撃手法を容易に追加できるとKálnai氏は述べました。
「その機能は追加DLLの動的ロードによって拡張可能に設計されており、実質的にプラグインアーキテクチャとして機能します」と彼は言います。「この設計により、脅威アクターはコアRATバイナリを大幅に更新することなく、機能を迅速に拡張し、最終的なペイロードを標的環境に合わせてカスタマイズできます。」
防御側が常に攻撃者に後れを取る運命にあるわけではありません。国家支援グループでさえ、このいたちごっこに疲れ、継続的な機能開発よりも安定性やシンプルさを選ぶことが多いとKálnai氏は述べ、KimsukyやLazarusが使用するコア機能セットの多くはゆっくりとしか変化しないことを指摘しました。
「これらの小さな変更は、攻撃者にとっての主要な運用上の優先事項を強調していると考えています」と彼は言います。「主力ツールにとって、安定性と運用のシンプルさは継続的な機能開発よりも重要です」と彼は述べています。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/kimsuky-httptroy-backdoor-south-korea-users
