北朝鮮の国家支援を受けるラザルス(Lazarus)ハッキンググループが、無人航空機(UAV)製造に関与する欧州の防衛請負企業を標的とした高度なサイバー諜報キャンペーンを開始しました。
これらの攻撃は、産業スパイを通じて国内のドローン生産能力を加速させようとする北朝鮮の取り組みと直接結び付いているように見えます。
標的となった組織には、金属エンジニアリング企業、航空機部品メーカー、専門防衛企業が含まれ、少なくとも2社がUAV技術の開発・生産に深く関与しています。
このキャンペーンは、著名企業での偽の求人オファーを餌に用いるラザルスの代表的なソーシャルエンジニアリング作戦「Operation DreamJob」の新たな波を示しています。
2025年3月下旬から、ESETは東南欧および中欧にまたがる防衛分野の企業3社を標的とした複数の攻撃を特定しました。
被害者には不正な求人内容とともにトロイの木馬化されたPDFリーダーが送付され、実行されるとマルウェアが配信されます。この欺瞞的な手口は、広範なセキュリティ啓発キャンペーンが行われているにもかかわらず、驚くほど効果的であることが示されています。
攻撃者は、ラザルスが3年間にわたり主要ペイロードとして用いてきた高度なリモートアクセス型トロイの木馬(RAT)であるScoringMathTeaを展開しました。
BinMergeLoaderはMicrosoft Graph APIを悪用し、認証にはMicrosoft APIトークンを使用します。
ScoringMathTeaは2022年10月に初めて観測され、約40のコマンドをサポートしており、攻撃者はファイルやプロセスの操作、システム情報の収集、TCP接続の確立、ダウンロードしたペイロードの実行が可能になります。
研究者が発見したあるドロッパーのサンプルには内部名「DroneEXEHijackingLoader.dll」が含まれており、このキャンペーンがUAV技術の窃取に焦点を当てていることを直接示す手掛かりとなっています。
このマルウェアはDLLサイドローディング手法を悪用し、TightVNC Viewer、MuPDF reader、Notepad++ やWinMerge向けプラグインなど、GitHub上の正規オープンソースプロジェクトをトロイの木馬化して検知回避を図ります。
ESETの研究者は、新たなDLLプロキシング用ライブラリや、トロイの木馬化に用いるオープンソースプロジェクトの選定改善など、同グループの戦術に顕著な進化が見られると指摘しました。
このマルウェアはコマンド&コントロール通信に侵害されたWordPressサーバーを使用し、通常はテーマまたはプラグインのディレクトリ内にサーバー側コンポーネントを格納します。
時期と標的選定から、このキャンペーンが独自のUAV設計、製造プロセス、産業上のノウハウを窃取することを目的としている可能性が強く示唆されます。
北朝鮮は国内のドローン能力に多額の投資を行っており、最近の報告では、平壌がアフリカおよび中東市場への輸出も視野に入れた低コストの攻撃UAVを開発しているとされています。ロシアは、イラン製Shahed自爆ドローンの模倣品を北朝鮮が生産するのを支援していると報じられています。
北朝鮮の主力偵察ドローン「セッピョル4(Saetbyol-4)」はNorthrop GrummanのRQ-4 Global Hawkのカーボンコピーのように見え、また「セッピョル9(Saetbyol-9)」戦闘ドローンはGeneral AtomicsのMQ-9 Reaperに酷似しています。
これらの設計は、北朝鮮が軍事能力を向上させるためにリバースエンジニアリングと知的財産の窃取に依存していることを示しています。
標的となった企業の少なくとも1社は、現在ウクライナで運用されているUAVモデル向けの重要部品を製造しており、北朝鮮部隊が2025年に派遣されたロシアのクルスク地域の前線でそれらに遭遇した可能性があります。
さらに同社は、平壌が積極的に開発しているものの軍事化には成功していない先進的な単一ローター型ドローン(無人ヘリコプター)技術の開発にも関与しています。
帰属(アトリビューション)とより広い文脈
ESETは、複数の指標に基づき高い確度で攻撃をラザルスによるものと判断しました。具体的には、ソーシャルエンジニアリングの手法、DLLサイドローディングのための GitHubオープンソースプロジェクトのトロイの木馬化、ScoringMathTeaの展開、そして欧州の航空宇宙・防衛分野を標的としている点です。
ラザルスはHIDDEN COBRAとしても知られ、北朝鮮の情報機関と関連する高度持続的脅威(APT)グループで、少なくとも2009年から活動しています。
同グループは、2016年のSony Pictures Entertainmentへのハッキング、数千万ドル規模のサイバー強奪、2017年のWannaCryランサムウェア流行、そして韓国のインフラに対する継続的な攻撃など、注目度の高い事件の責任主体とされています。
セキュリティ専門家は、防衛請負企業に対し、特に偽の採用誘導といったソーシャルエンジニアリング手口に関する厳格な従業員教育を実施するよう推奨しています。
組織は、予期しない送信元からの求人オファーを精査し、実行ファイルを開く前に検証し、トロイの木馬化された正規ソフトウェアを識別できる高度なエンドポイント検知ソリューションを導入すべきです。
ネットワークセグメンテーションと特権アクセス管理は、初期侵害が発生した場合のラテラルムーブメント(横展開)を制限できます。
IoCs
| SHA-1 | ファイル名 | 検知名 | 説明 |
|---|---|---|---|
| 28978E987BC59E75CA22562924EAB93355CF679E | TSMSISrv.dll | Win64/NukeSped.TL | QuanPinLoader。 |
| 5E5BBA521F0034D342CC26DB8BCFECE57DBD4616 | libmupdf.dll | Win64/NukeSped.TE | MuPDFレンダリングライブラリ v3.3.3を装ったローダー。 |
| B12EEB595FEEC2CFBF9A60E1CC21A14CE8873539 | radcui.dll | Win64/NukeSped.TO | RemoteAppおよびデスクトップ接続UIコンポーネントライブラリを装ったドロッパー。 |
| 26AA2643B07C48CB6943150ADE541580279E8E0E | HideFirstLetter.DLL | Win64/NukeSped.TO | BinMergeLoader。 |
| 0CB73D70FD4132A4FF5493DAA84AAE839F6329D5 | libpcre.dll | Win64/NukeSped.TP | トロイの木馬化されたlibpcreライブラリであるローダー。 |
| 03D9B8F0FCF9173D2964CE7173D21E681DFA8DA4 | webservices.dll | Win64/NukeSped.RN | Microsoft Web Services Runtimeライブラリを装ったドロッパー。 |
| 71D0DDB7C6CAC4BA2BDE679941FA92A31FBEC1FF | N/A | Win64/NukeSped.RN | ScoringMathTea。 |
| 87B2DF764455164C6982BA9700F27EA34D3565DF | webservices.dll | Win64/NukeSped.RW | Microsoft Web Services Runtimeライブラリを装ったドロッパー。 |
| E670C4275EC24D403E0D4DE7135CBCF1D54FF09C | N/A | Win64/NukeSped.RW | ScoringMathTea。 |
| B6D8D8F5E0864F5DA788F96BE085ABECF3581CCE | radcui.dll | Win64/NukeSped.TF | RemoteAppおよびデスクトップ接続UIコンポーネントライブラリを装ったローダー。 |
| 5B85DD485FD516AA1F4412801897A40A9BE31837 | RCX1A07.tmp | Win64/NukeSped.TH | 暗号化されたScoringMathTeaのローダー。 |
| B68C49841DC48E3672031795D85ED24F9F619782 | TSMSISrv.dll | Win64/NukeSped.TL | QuanPinLoader。 |
| AC16B1BAEDE349E4824335E0993533BF5FC116B3 | cache.dat | Win64/NukeSped.QK | 復号されたScoringMathTea RAT。 |
| 2AA341B03FAC3054C57640122EA849BC0C2B6AF6 | msadomr.dll | Win64/NukeSped.SP | Microsoft DirectInputライブラリを装ったローダー。 |
| CB7834BE7DE07F89352080654F7FEB574B42A2B8 | ComparePlus.dll | Win64/NukeSped.SJ | Microsoft Web Services Runtimeライブラリを装った、トロイの木馬化されたNotepad++プラグイン。VirusTotal由来のドロッパー。 |
| 262B4ED6AC6A977135DECA5B0872B7D6D676083A | tzautosync.dat | Win64/NukeSped.RW | 復号されたScoringMathTea。ディスク上では暗号化して保存。 |
| 086816466D9D9C12FCADA1C872B8C0FF0A5FC611 | N/A | Win64/NukeSped.RN | ScoringMathTea。 |
| 2A2B20FDDD65BA28E7C57AC97A158C9F15A61B05 | cache.dat | Win64/NukeSped.SN | トロイの木馬化されたNPPHexEditorプラグインとしてビルドされた、BinMergeLoaderに類似するダウンローダー。 |
翻訳元: https://gbhackers.com/lazarus-hackers/
