TokyoBlackHatNews

darkreading.com 4分で読了

DPRKの攻撃者がVS Codeトンネルを悪用し、リモートでハッキング

Image

Shutterstock提供:DD Images

北朝鮮の攻撃者によるスピアフィッシング・キャンペーンが、Microsoft Visual Studio(VS)Codeの正規機能を悪用して、標的システムを完全に遠隔操作できるようにしている。

Darktraceの研究者が発見したこのキャンペーンでは、本日公開されたレポートによると、韓国の標的に対して政府関連を装ったフィッシングメールが送られ、偽の公的文書が添付されている。文書は、ハングル・ワード・プロセッサ(HWPX)文書に偽装したJSEファイルで、開くとひそかにMS VS Codeをインストールし、内蔵のトンネリング機能を悪用して攻撃者に被害者マシンの完全な遠隔操作権を与える。

この攻撃手法は、攻撃者がコマンド&コントロール(C2)基盤を構築したり、攻撃チェーンでマルウェアを使用したりする必要を事実上なくし、一般的な開発者の活動に紛れ込む形で攻撃できる近道を提供する。Darktraceによれば、この活動は—ほぼ例外なくLiving-off-the-Land(LotL)手法を用いており—朝鮮民主主義人民共和国(DPRK)に関連する攻撃者がこの特定の戦術を用いたのは初めてとみられる。ただし、他の攻撃者がVS Codeを悪用した例はある。

「この活動は、脅威アクターがカスタムマルウェアではなく正規ソフトウェアを使って侵害システムへのアクセスを維持できることを示しています」と、Darktraceのマルウェア研究責任者であるTara Gould氏はブログ投稿に記した。「VS Codeトンネルを使うことで、攻撃者は専用のC2サーバーではなく、信頼されたMicrosoftのインフラを介して通信できます」

VS Code悪用の過去事例

このキャンペーンは、北朝鮮の攻撃者がVS Codeを攻撃に悪用した初めての例ではない。実際、今週に入ってJamfの研究者が、北朝鮮の「Contagious Interview」キャンペーンの背後にいる攻撃者がVS Codeを使用して、ユーザーの操作なしに開発者システム上でリモートコード実行(RCE)を可能にする、これまで未確認のバックドアを配布していることを明らかにした。

さらに、セキュリティ研究者は2023年にVS Codeトンネルの悪用を初めて確認しており、その後、東南アジアのデジタルインフラや政府機関を標的とする中国の高度持続的脅威(APT)グループによって使用されてきた。

実際、VS Codeの悪用はこのDPRKキャンペーンの重要な要素であり、標的がメールを受け取るところから始まる。メールの誘導文は、韓国の公務員制度を管理する政府機関である人事革新処(Ministry of Personnel Management)を名乗り、大学院課程の学生選抜に関する内容となっている。「文書内のメタデータに基づくと、脅威アクターは政府のウェブサイトから文書を入手し、正規のものに見えるよう編集したようです」とGould氏は記した。

VS Codeでリモートアクセスを確立

悪意のあるファイルのいずれかを開くと、一連のダウンロードが実行され、攻撃者がリモートコンピュータに接続してVS Codeを使用できるようにする「bizeugene」という名称のVS Codeトンネルが確立される。

「リモートコンピュータはVS Codeサーバーを実行し、Microsoftのトンネルサービスへの暗号化接続を作成します」とGould氏は記した。「その後、ユーザーはGitHubまたはMicrosoftでサインインしたうえで、VS CodeアプリケーションまたはWebブラウザを使って別のデバイスからそのマシンに接続できます」

脅威アクターが自身のGitHubアカウントからトンネルを承認すると、侵害されたシステムはVS Code経由で接続され、攻撃者はVS Codeのターミナルとファイルブラウザに対する対話的アクセスを得る。これにより、ペイロードの取得、データの持ち出し、その他の悪意ある活動が可能になる。

検知には新たな視点が必要

Gould氏によれば、このキャンペーンで用いられたLotL戦術は、一般的なMicrosoftベース環境で使われる正規のシステムやプロセスに紛れ込むため、通常、防御側が検知するのは容易ではない。「広く信頼されているアプリケーションの使用は、特に開発者ツールが一般的にインストールされている環境では、検知をより困難にします」と彼女は記した。

つまり防御側は、不審な活動を検知することに特に注意を払う必要がある。既知のマルウェアをブロックすることに焦点を当てた典型的なセキュリティ制御への依存を超えて対応すべきであり、「ツール自体は本質的に悪意あるものではなく、正規ベンダーによって署名されていることも多い」ためだとGould氏は記した。

専門家は、組織が自社環境のツールに対して最小権限の原則を適用することに加え、強固なアクセス制御や特権行動分析の監視を行うことを推奨している。これにより、セキュリティチームがネットワークトラフィックやアクセス要求を分析し、高度なLotL戦術に対抗する一つの手段となる。

この特定のDPRKスピアフィッシング・キャンペーンに対する防御を支援するため、Gould氏はブログ投稿に侵害指標(IoC)を掲載し、脅威アクターに関連する主要なIPアドレスや、その他のMITRE ATT&CKの攻撃手法を含めた。

翻訳元: https://www.darkreading.com/endpoint-security/dprk-vs-code-tunnels-remote-hacking

ソース: darkreading.com
#GitHubアカウント悪用 #HWPX偽装文書 #JSEファイル #Living-off-the-Land(LOTL) #Microsoftインフラ悪用 #VS Code Tunnels #スピアフィッシング #リモートアクセス #北朝鮮(DPRK) #韓国政府機関標的

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開