TokyoBlackHatNews

gbhackers.com 4分で読了

脅威アクターが韓国のテレビ番組脚本家になりすまし、マルウェアを配布

Genians Security Centerの脅威インテリジェンス調査によると、北朝鮮支援の脅威アクターが韓国の主要放送局の脚本家になりすまし、悪意のある文書を配布して標的システムへの初期アクセスを確立しているという。

APT37グループによるものと帰属される「Artemis」キャンペーンは、ソーシャルエンジニアリングと高度な技術的回避手法を組み合わせ、エンドポイント防御を回避する。

攻撃は綿密な偵察と信頼関係の構築から始まる。脅威アクターは、著名な韓国テレビ番組の脚本家を装って標的に連絡し、当初は北朝鮮の人権や脱北者に関する話題に関連したインタビューやキャスティングの機会を依頼する。

この手口は、正規のメディア組織の信頼性を利用して被害者との関係を築く。

複数回の信頼構築のやり取りの後、攻撃者はインタビュー用質問票やイベントガイドを装った悪意のあるHangul Word Processor(HWP)文書を送付する。

調査により、脅威アクターが別々の放送番組に所属する脚本家の実名を無断で使用していたことが確認され、信憑性が増し、警戒していない標的が文書を実行する可能性が高まっていた。

多段階の技術的回避

悪意のあるHWP文書が被害者に届くと、高度な攻撃チェーンが起動する。文書には、ハイパーリンクに偽装した悪意のあるOLE(Object Linking and Embedding)オブジェクトが埋め込まれている。ユーザーがリンクをクリックすると、侵害プロセスが開始される。

この攻撃ではDLLサイドローディングを悪用する。これは、正規のMicrosoft Sysinternals ユーティリティ(VolumeId.exe、vhelp.exe、mhelp.exeなど)を利用し、同一ディレクトリから悪意のあるDLLを読み込ませる手法である。

Image
ステガノグラフィ攻撃で使用された写真。

この手法は特に実用的である。シグネチャベースのセキュリティソリューションは正規のシステムユーティリティを許可しがちなため、マルウェアが信頼されたプロセスを装って実行できるからだ。

悪意のあるペイロードは、連続する復号段階にわたり、異なるキー値(0xFA、0xF9、0x29)を用いた複数層のXOR暗号化を施される。

この難読化手法により静的解析が複雑化し、研究者が攻撃の仕組みを理解するまでの時間が引き延ばされる。最終的に復号されたペイロードは、APT37に帰属される高度なリモートアクセス型トロイの木馬であるRoKRATとして起動する。

C2インフラの分析により、APT37 がコマンド&コントロールに正規のクラウドサービスを引き続き活用していることが明らかになった。

DLLサイドローディングに使用された「version.dll」ファイルは、2025年10月から11月にかけて継続的に利用されていた。

Image
 DLLロジック解析。

具体的には、脅威アクターは識別子「tanessha.samuel」を用いて、Yandex Cloud(ロシア拠点)およびpCloud(スイス拠点)のアカウントを登録しており、いずれも2023年10月19日に作成されていた。

この地理的・法域的な分離は、帰属の特定を困難にし、地理的ブロッキングを回避するための意図的な戦略を反映している。

感染システムから回収されたアカウントトークンは、アクターが長期間にわたりインフラを積極的に維持・更新していたことを示している。1つは2023年10月に作成され、もう1つは2025年2月に作成されていた。

このパターンは、単発のキャンペーン活動ではなく、持続的な運用能力と長期的な戦略意図を示している。

検知と対応

正規プロセスの悪用と多段階暗号化により、従来のシグネチャベースのセキュリティツールではこの攻撃への対処が困難である。

このモジュールは、連続する16バイトキー(0xF9)を用いてXORによりメモリ上で暗号化ブロックを復号し、その後制御を移譲する。これは典型的なシェルコードローダーのパターンの特徴を明確に示している。

Image
 シェルコード復号ロジック。

挙動分析が可能なEndpoint Detection and Response(EDR)ソリューションは、異常な実行フローを特定するうえで不可欠である。特に、正規ユーティリティが不審なパスからDLLを読み込む場合や、HWPプロセスがrundll32.exeやcmd.exeのような想定外の子プロセスを生成する場合に重要となる。

組織は、以下の監視を優先すべきである:

  • 正規プロセスによる異常なパスからのDLL読み込み。
  • HWPアプリケーションからの子プロセス生成。
  • 通常の業務時間外におけるクラウドストレージサービスへの外向き通信。
  • 偵察、ファイル投下、クラウドベースのC2通信を含む連続的な攻撃チェーン。

Artemisキャンペーンは、APT37の進化する能力と運用成熟度を浮き彫りにしている。信頼性の高いソーシャルエンジニアリングと高度な技術的回避を組み合わせることで、この脅威アクターは、韓国および同盟国における高価値標的に対して永続的なアクセスを確立しようとする明確な戦略意図を示している。

翻訳元: https://gbhackers.com/korean-tv-writers/

ソース: gbhackers.com
#APT37 #DLLサイドローディング #EDR(エンドポイント検知・対応) #HWP(ハングルワードプロセッサ) #RokRAT #クラウドC2(Yandex Cloud・pCloud) #ステガノグラフィ #ソーシャルエンジニアリング #なりすまし攻撃 #北朝鮮系ハッカー

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚