DPRK(北朝鮮)の利益のために活動するグループは、サイバー諜報、金融攻撃、そして侵害されたシステム内での長期的な潜伏のためのインフラを、引き続き攻撃的に拡張しています。これは、Hunt.ioとAcronis Threat Research Unitによる共同調査の結果によって裏付けられており、同調査はLazarusとKimsuky両グループのインフラ間にある密接な関連を明らかにし、繰り返し用いられる手法やツールセットを分析しました。
本研究は、攻撃者が残したアーティファクトの詳細な検証に基づいています。IPアドレス、デジタル証明書、ツールのディレクトリ、その他のインフラ構成要素が繰り返し再利用されていたことにより、相互に接続されたノードを特定し、形式上は独立と見なされるグループ間であっても共有された戦術を露呈させることが可能になりました。このアプローチにより、これまで断片的で無関係に見えていたキャンペーンを追跡できるようになりました。
中心的な焦点の一つは、LazarusおよびKimsukyに関連する新たに特定された2種類のマルウェアの分析でした。Kimsukyのケースでは、研究者はVPN設定ファイルに偽装されたHttpTroyローダーの新しい反復版を観測し、一方LazarusはBLINDINGCANリモートアクセスツールの強化版を展開していました。同一インフラ内では、Badcallマルウェアの改変Linux亜種も発見され、システムレベルのキーロガーが組み込まれていました。これは、感染ホストに対する制御がますます高度化していることを示す兆候です。
さらなる分析により、MailPassViewやWebBrowserPassViewといった認証情報窃取ツールを含む大規模なディレクトリが明らかになりました。これらのユーティリティは、パスワード収集ツールからQuasar RATを含むリモート管理ツールまで、幅広い他のソフトウェアとともに、誰でもアクセス可能なHTTPディレクトリ上でホストされていました。これらのリポジトリの一部には数千のファイルと数百のサブディレクトリが含まれており、完全に整備された作戦用兵器庫として機能していたことが示唆されます。
特に注目されたのは、LazarusグループによるFRP(Fast Reverse Proxy)技術の使用で、これは3CXインシデントを含むサプライチェーン攻撃で以前に観測されていました。同一のFRPバイナリが、ポート9999で稼働する複数のVPSサーバーに展開されており、侵害システムとC2(コマンド&コントロール)サーバー間に強靭な通信チャネルを確立することを目的とした、自動化されたインフラ展開を示しています。
デジタル証明書の追跡も分析において重要な役割を果たしました。Lazarusが使用したある証明書は12個のIPアドレスに紐づいており、そのうち10個はマルウェア配布に積極的に関与していました。補足データによれば、残る2つのアドレスは、DPRK関連の別のサイバー部隊であるBluenoroffに帰属するとされる作戦で使用された可能性があります。この発見は、異なるグループがインフラの重要要素を共有し再利用し得るという結論を補強します。
同一の運用パターンが一貫して再利用されることにより、事後的な調査だけでなく、能動的な脅威検知も可能になります。繰り返し使用されるデータ窃取ツール、統一的に設定されたプロキシサーバー、安定したVPSホスティングのパターン、そして証明書の反復利用が相まって、こうした攻撃を早期段階で特定し緩和するための有効な仕組みを構築できます。
最終的に本研究は、マルウェアのペイロードや感染ベクターが継続的に進化しているにもかかわらず、インフラのアーティファクトがDPRK関連のサイバー作戦を追跡するうえで最も信頼できる指標であり続けることを強調しています。それらの安定性と反復性により、防御側は全面的な攻撃が展開されるはるか前に悪性活動を検知できます。
