TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

Labyrinth Chollima、北朝鮮の3つのハッキンググループへと進化

北朝鮮と関連するサイバー脅威グループの中でも最も活動が活発なグループの一つであるLabyrinth Chollimaは、最近、3つの別個のハッキンググループへと進化したとCrowdStrikeは述べています。

1月29日に公開された新たなブログで、このサイバーセキュリティ大手は、今後この3グループをLabyrinth Chollima、Golden Chollima、Pressure Chollimaとして追跡すると発表しました。

同社は「高い確度」で、Labyrinth Chollimaが引き続きサイバー諜報に注力し、産業、物流、防衛関連企業を標的としている一方で、他のグループは暗号資産関連組織を標的にする方向へシフトしたと評価しています。

CrowdStrikeによれば、各グループはマルウェアキャンペーンでそれぞれ異なるツールセットを使用しています。これらのツールセットはいずれも、2000年代および2010年代にLabyrinth Chollimaが使用していた同一のマルウェア・フレームワークの進化形です。

しかしCrowdStrikeの脅威インテリジェンス分析官は、現在は独立して活動しているにもかかわらず、この3つの敵対者が依然としてツールとインフラを共有しており、北朝鮮のサイバー・エコシステム内で中央集権的な調整とリソース配分が行われていることを示していると述べました。

Labyrinth Chollima、Lazarusの数ある別名の一つ

Labyrinth Chollima(UNC4034およびTemp.Hermitとしても知られる)は、北朝鮮に帰属するとされる最も活動的なサイバー脅威グループの一つです。

CrowdStrikeによれば、このグループは、韓国および米国の組織に対する破壊的攻撃や、世界的なWannaCryランサムウェア事件など、北朝鮮による最も注目すべき侵入の一部に関与しているとされています。 

同グループの過去の作戦の一部はLazarus Groupに帰属するとされてきましたが、北朝鮮に帰属するハッキング・エコシステム内のあまりに多くの別個のチームを包含してしまうため、現在では多くのサイバー脅威インテリジェンス分析官がこの後者の名称を用いなくなっているようです。

例えば、ドイツのフラウンホーファー研究所が維持するサイバー脅威インテリジェンス・リポジトリであるMalpediaのLazarus Groupのエントリには42の異なる別名が列挙されており、この名称が別個の北朝鮮ハッキングチームに対していかに広範に適用されてきたかを示しています。

Labyrinth Chollimaの起源とStardust Chollimaの出現

CrowdStrikeは、2009年から2015年にかけて実環境で使用されていたKorDLLマルウェア・フレームワークを発見したことを契機に、北朝鮮政権に結び付く独立したサイバーハッキンググループとしてLabyrinth Chollimaの追跡を開始しました。

KorDLLは、インプラントのテンプレート、コマンド&コントロール(C2)プロトコル、共通タスク用ライブラリ、各種難読化手法のコードを含むソースコード・リポジトリです。

CrowdStrikeは、このフレームワークが「Dozer、Brambul、Joanap、KorDLL Bot、Koredosを含む、時代を画する複数のマルウェア・ファミリーを生み出した」と述べています。

その後、このフレームワークはHawupおよびTwoPenceのマルウェア・フレームワークへと進化し、CrowdStrikeはLabyrinth Chollimaを2つのグループに分割しました。すなわち、Hawupフレームワークを使用したLabyrinth Chollimaと、TwoPenceフレームワークおよびその進化版を使用したStardust Chollimaです。

KorDLL malware framework evolution. Source: CrowdStrike
KorDLLマルウェア・フレームワークの進化。出典:CrowdStrike

Labyrinth Chollima、Golden Chollima、Pressure Chollima

現在、CrowdStrikeはHawupフレームワークが3つの別個のバージョンへと進化した新たな動向を共有しています。これには、Labyrinth Chollimaが使用するHoplightフレームワーク、Golden Chollimaが使用するJeusフレームワーク、そしてPressure ChollimaがTwoPenceフレームワークと併用するMataNetフレームワークが含まれます。

特徴的なツールを使用していることに加え、この3グループは標的や、技術・戦術・手順(TTP)にも違いがあります:

  • Golden Chollimaは、クラウドに焦点を当てた手口と採用詐欺の誘い文句を用い、フィンテック色の強い地域で一貫して小規模な暗号資産窃取に注力する
  • Pressure Chollimaは、高度で流通の少ないインプラントを用い、世界規模で高額な機会的暗号資産強奪を狙う
  • Labyrinth Chollimaは、ゼロデイ、雇用をテーマにした誘い文句、カーネルレベルのマルウェアを通じて、防衛、製造、重要インフラ分野に対する諜報活動を行う

翻訳元: https://www.infosecurity-magazine.com/news/labyrinth-chollima-dprk-three/

ソース: infosecurity-magazine.com
#CrowdStrike #Golden Chollima #Labyrinth Chollima #Lazarus Group #Pressure Chollima #TTP(戦術・技術・手順) #サイバー諜報 #マルウェア(KorDLL) #北朝鮮ハッカー #暗号資産窃取

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新