Hunt.ioおよびAcronis Threat Research Unitのセキュリティ研究者は、北朝鮮の国家支援型脅威アクターであるLazarusとKimsukyが管理する、高度な運用インフラのネットワークを発見しました。
共同調査により、これらのグループのキャンペーン間に存在する、これまで文書化されていなかった関連性が明らかになり、アクティブなコマンド&コントロール(C2)サーバー、認証情報窃取環境、トンネリングノード、証明書に紐づくインフラが、これまで公的な分析から隠れていたことが判明しました。
本研究は、DPRKのオペレーターが、マルウェアや攻撃の誘い文句を進化させながらも、予測可能なインフラのパターンを通じて永続的なアクセスを維持していることを示しています。
研究者は、Hunt.ioの脅威インテリジェンス・プラットフォームを用いて、侵害指標(IOC)、証明書、オープンディレクトリを横断的にピボットし、アジアおよびそれ以外の複数のVPSプロバイダーに展開された悪性資産の相互接続クラスターをマッピングしました。
最も重要な発見の一つは、DPRKの運用上のトレードクラフトの一貫性に焦点を当てたものです。
調査は、異なるキャンペーンにわたって安定して継続する反復的なシグナルを特定しました。具体的には、露出したオープンディレクトリに配置された認証情報収集ツールキット、複数サーバーで同一構成のFast Reverse Proxy(FRP)トンネリングノード、そしてリモートデスクトッププロトコル(RDP)露出を伴うホスト群のクラスターで再利用される証明書です。
最初の重要な発見は、ポート8080にオープンディレクトリを持つサーバー23.27.140[.]49にホストされていた、BADCALLバックドアのLinux亜種を通じてLazarusの活動を追跡したことでした。
この亜種には重要な運用上の更新が含まれており、/tmp/ディレクトリにタイムスタンプ付きのエントリを記録するログ機構の追加が行われていました。
この機能により、オペレーターはマルウェアの実行状況を監視し、侵入の過程を通じて正しく動作していることを確認でき、運用効率を高めるためにツールキットを意図的に強化したことを示しています。
稼働中の認証情報窃取インフラ
本研究は、稼働したままの主要な認証情報窃取用ステージング環境を2つ発見しました。
サーバー207.254.22[.]248:8800には、2つのサブディレクトリにまたがる21ファイルからなる112MBのツールキットがホストされており、MailPassView、WebBrowserPassView、ChromePass、rcloneのバイナリなど、完全なプロファイル抽出および持ち出し(エクスフィルトレーション)スイートを構成する内容が含まれていました。
Hunt.ioのインテリジェンスにより、このインフラが2025年8月時点でもポート7443でMythicのコマンド&コントロールサーバーを稼働させていたことが確認されました。
2つ目の重要ノードである149.28.139[.]62:8080では、201ファイルにわたる270MB超の運用データが露出しており、完全に機能するQuasar RATインフラ、認証情報収集ツール、ファイル転送ユーティリティが含まれていました。
このステージング環境は、侵入時に迅速に展開できるよう、脅威アクターが維持していた包括的な攻撃エコシステムを示していました。
さらに憂慮すべきだったのは、サーバー154.216.177[.]215の発見で、10,731ファイルと1,222のサブディレクトリにわたる約2GBの運用データが露出していました。
このインフラには、高度な偵察ツール、開発アーティファクト、Nucleiテンプレートライブラリ、個人的なアーティファクトが含まれており、アクティブな脅威アクターの運用ハブとして機能していたことが示唆されます。
トンネリングおよび証明書ベースのインフラ
本研究は、中国およびAPAC地域のVPSプロバイダーに展開された、同一のFRPトンネルノード8台を特定しました。いずれもポート9999で同じ10MBのバイナリを提供していました。
この均一性は、スクリプト化された自動プロビジョニングを示しており、従来のC2チャネルが遮断された場合でも永続的なアクセスを維持するために設計された、Lazarusのオペレーションの特徴を示しています。
証明書ピボットにより、研究者は共通名「hwc-hwp-7779700」を共有し、2025年1月以降RDPが露出している12のIPアドレスを発見しました。
マルウェアデータベースへの照会により、これらのうち10のIPがLazarus Groupのマルウェアと直接関連していることが確認され、残りのノードはBluenoroffのオペレーションに関連しており、DPRKのサブグループのワークフローが交差する地点を示しています。
本研究は、防御側に対して、プロアクティブな脅威ハンティングに活用できる実用的なインテリジェンスを提供します。反復するオープンディレクトリのパターンを監視し、特定のポートやプロバイダーにまたがるFRP展開を追跡し、証明書の再利用を軸にピボットすることで、アクティブなキャンペーンが開始される前に新たなDPRKインフラを発見できます。
これらの安定した行動パターンは、絶えず変化するマルウェアファミリーよりも、より信頼性の高い検知シグナルを提供します。
翻訳元: https://gbhackers.com/tunneling-nodes/
