「オペレーション・アルテミス」と呼ばれる大規模マルウェア・キャンペーンの一環として、北朝鮮のハッキンググループAPT37(別名ScarCruft)は、韓国のワープロソフトHWPとDLLサイドローディングを悪用した高度な攻撃手法を用いた。この作戦は韓国の専門職を標的としており、主に政治、メディア、国際関係分野の従事者が狙われた。初期侵入は、インタビュー依頼やイベント招待を装ったフィッシングメールによって達成された。
韓国のセキュリティ企業Geniansによると、攻撃者はテレビ局の記者や学者になりすまし、アンケートや正式な招待状を装ったHWP文書を被害者に送付した。これらのファイルにはOLEオブジェクトが埋め込まれており、多段階の実行チェーンを起動して、最終的に正規プロセスのコンテキスト内でDLL置換により悪意あるライブラリを読み込ませた。この手法により、攻撃者はシグネチャベースの防御を回避し、解析を大幅に困難にした。
Geniansのレポートは、ステガノグラフィの使用に特に重点を置いており、これまで確認されていない肖像写真を含む画像ファイル内に悪意あるデータを隠蔽することで、さらなる秘匿性の層を提供していた。調査担当者はまた、以前のキャンペーンで使用された攻撃スクリプトの再利用も特定しており、Program Database(PDB)のデバッグ文字列における同一パスに至るまで一致していたことから、同一の脅威アクターによる組織的な活動であることが示唆された。
version.dllなどの悪意あるモジュールはSysinternalsユーティリティを介して実行され、標準的な管理ツールを装ってペイロードを読み込ませることが可能だった。このアプローチは、疑わしい実行ファイルに対する静的チェックを効果的に回避した。読み込み後、ライブラリは複数のキーによるXOR演算(実行を高速化するSSEベースのルーチンを含む)を用いて段階的にペイロードを復号し、実行速度を高めるとともにリバースエンジニアリングへの耐性を強化した。
このキャンペーンの最終目的は、APT37の武器庫としてよく知られるRoKRATファミリーのリモートアクセスツールを展開し、起動させることだった。このツールにより、コマンド&コントロール(C2)サーバーとの秘匿通信、データの持ち出し、侵害システム上でのリモートコマンド実行が可能となる。
通信チャネルとして商用クラウドプラットフォームが使用された。こうしたサービスを悪用することで、悪意あるトラフィックを正規のものに見せかけられるだけでなく、ネットワークレベルでの遮断もより困難になる。解析の結果、攻撃者が同一の識別子を用いて複数のクラウドサービスにわたりアカウントを事前登録していたことが判明し、インフラの戦略的一貫性が浮き彫りになった。
レポートは、APT37が規律をもって活動し、回避技術の洗練を継続している点を強調している。これらの手法は単に検知を逃れるためだけでなく、詳細な解析やフォレンジック調査にも耐え得るよう設計されている。その結果、組織には防御戦略の見直しが求められており、特に振る舞い分析とリアルタイムの活動監視が可能なEDRソリューションの採用が推奨される。
この種の攻撃を検知するには、孤立した事象ではなく、文書の実行からクラウド基盤への外向き通信に至る攻撃チェーン全体を相関できるツールが必要である。こうした包括的な可視性があって初めて、潜伏した活動を適時に特定し、感染を封じ込め、データ流出を防止できる。
翻訳元: https://meterpreter.org/operation-artemis-north-korean-scarcruft-hijacks-hwp-files-to-deploy-rokrat/
