Genians Security Centerは、北朝鮮のAPT37(Reaper)グループに関連する「Artemis」と呼ばれる新たなサイバー諜報キャンペーンを発見しました。
このキャンペーンは巧妙なソーシャルエンジニアリングを用い、正規文書に偽装した悪意のあるHangul Word Processor(HWP)ファイルを配布して、韓国の標的を侵害します。
攻撃者は韓国の主要テレビ番組の作家を装い、主にジャーナリスト、学術研究者、政治の専門家といった潜在的な被害者に連絡し、キャスティングやインタビューの機会を持ちかけました。
信頼関係を築くためのやり取りを数回行った後、偽のインタビュー質問票やイベント案内文書をHWP形式で送付しました。
これらの武器化されたファイルには、正規のMicrosoft Sysinternalsユーティリティを起動する悪意のあるOLEオブジェクトが含まれていました。
マルウェアはDLLサイドローディングを使用し、改ざんされた.dllが正規の実行ファイルと同じ場所に配置され、読み込まれることで攻撃の次段階を引き起こしました。
この手法により、ペイロードは信頼されたプロセス内で実行され、従来のアンチウイルスのシグネチャ検知を回避できました。
有効化されると、DLLは複数層のXOR暗号化を用いて隠されたシェルコードを復号し、C2(コマンド&コントロール)運用、データ窃取、システム監視にAPT37が長年使用してきた諜報ツールRoKRATを実行しました。
最終ペイロードはC2通信のためにロシア拠点のYandex Cloudに接続されており、Dropbox、OneDrive、pCloudなどの正規クラウドサービスを悪用して通常のインターネット活動にトラフィックを紛れ込ませるという、APT37の継続的な戦略に沿った手法です。
アカウント「philp」に登録された2つのYandexトークン。StwartおよびTanessha.Samuelが、運用をまたいで再利用されていることが確認され、APT37の「ToyBox Story」作戦に以前関連付けられていたpCloudアカウントと一致しました。
このインフラ横断の重複は、同一のアクターがクラウド資産を管理し、地理的追跡を回避しながらペイロード配布とデータ流出を調整していることを裏付けています。
専門家は、ソーシャルエンジニアリング、ステガノグラフィによる秘匿、そして多層暗号化のこのハイブリッドが、APT37の継続的な技術的成熟を示していると警告しています。
同グループは、信頼された実行経路と適応的な難読化を組み合わせることで、ステルス能力を体系的に強化しています。
Artemisキャンペーンにより、APT37は国家支援グループが正規の技術と人間の信頼を悪用し、韓国の機関への持続的アクセスを維持する手口を改めて示しました。
翻訳元: https://cyberpress.org/fake-korean-tv-writer-identities/