韓国の政府および情報機関の職員を標的とした大規模なスピアフィッシングキャンペーンが、国家情報ニュースレターを悪用して被害者を誘い込んでいます。
8月29日に公開された新しいレポートで、サイバーセキュリティ企業Seqriteは、北朝鮮が支援していると考えられる国家支援型ハッカーグループAPT37が大規模なスピアフィッシングキャンペーンの背後にいることを明らかにしました。
この作戦は「オペレーション・ハンコク・ファントム」と名付けられ、APT37が韓国政府関係者や情報機関職員が関心を持つ文書を武器化して利用した2つのキャンペーンが含まれています。
ソウルの情報機関を装ったスピアフィッシング
最初のキャンペーンでは、「国家情報研究会ニュースレター第52号」(韓国語では「국가정보연구회 소식지 (52호)」)を偽装文書として利用し、被害者を誘い込みました。
国家情報研究会ニュースレターは、韓国の研究団体である国家情報研究会が発行する月刊または定期的な内部ニュースレターです。
このニュースレターは、会員に対して最新および今後のセミナー、研究イニシアチブ、組織の動向の概要を提供します。また、国家安全保障、労働動向、現在の地政学的変化、技術革新(例:AI)、南北関係に関する議論も取り上げています。
Seqriteの研究者によると、攻撃者はこの本物そっくりのPDFとともに、「국가정보연구회 소식지(52호).pdf」という名前の悪意あるLNK(Windowsショートカット)ファイルを配布しています。
LNKファイルが実行されると、ペイロードのダウンロードやコマンド実行がトリガーされ、攻撃者がシステムを侵害できるようになります。
侵入チェーンには、メモリ上での実行、偽装デコイ、隠されたデータ流出ルーチンなど、悪意あるペイロードを難読化し検知を回避するための複数の手法が含まれています。
攻撃チェーンを分析したところ、Seqriteの研究者は、ペイロードがRokRATというバックドアを配信していることを突き止めました。これは、武器化された文書の悪用後にシェルコードによってダウンロード・復号されるエンコードされたバイナリファイルとして配布されることが一般的です。
APT37は、過去のキャンペーンでもRokRATを配信していたことが確認されています。
このスピアフィッシングキャンペーンの主な標的は、通常以下の韓国の機関のいずれかまたは複数の会員であるニュースレターの受信者です:
- 国家情報研究会
- 光云大学
- 高麗大学
- 国家安保戦略研究院
- 中央労働経済研究所
- エネルギー安全・環境協会
- 国民救国精神宣揚会
- 楊志会(追悼会議主催)
- 韓国統合戦略
北朝鮮公式声明を装ったスピアフィッシング
2つ目のキャンペーンでは、北朝鮮の最高指導者金正恩の妹であり、朝鮮労働党中央委員会副部長である金与正氏が7月28日に発表した声明を偽装文書として利用しました。
平壌を拠点とする朝鮮中央通信(KCNA)の報道によると、この声明は北朝鮮が韓国からの和解努力を拒否することを示しているとSeqriteのレポートは指摘しています。
「声明は、南側の南北関係改善の試みを強く批判し、それらを無意味または偽善的だと断じています」とSeqriteの研究者は続けています。
この文書では、北朝鮮が今後の対話や協力を完全に拒否し、和解努力の終結を宣言し、今後は敵対的かつ対決的な姿勢を取ることも述べられていました。
この攻撃チェーンは最初のキャンペーンと同様で、悪意あるLNKファイルから始まり、デコイを展開しつつ難読化されたコンポーネント(tony33.bat、tony32.dat、tony31.dat)を%TEMP%に配置します。
LNKは自己削除され、その後バッチスクリプトがファイルレス攻撃を実行します:tony32.datがメモリ上でデコードされ、tony31.dat(キー0x37)をXOR復号し、APIコール(VirtualAlloc+CreateThread)でインジェクトします。
ドロッパーは、コマンド&コントロール(C2)サーバーから偽装HTTPリクエストで二次ペイロード(abs.tmp)を取得し、PowerShell(-EncodedCommand)で実行、痕跡を削除します。
同時に、%TEMP%内のファイルを偽装POSTリクエスト(PDFアップロードを装う)で流出させ、LOLBins、メモリ実行、トラフィックの偽装で検知を回避します。
この2つ目のキャンペーンの標的は以下の通りです:
- 李在明政権(韓国政府内閣)
- 統一部
- 米韓軍事同盟
- アジア太平洋経済協力(APEC)
APT37は高度にカスタマイズされたスピアフィッシング攻撃を使用
Seqriteは、これらのキャンペーンを「オペレーション・ハンコク・ファントム」と名付けました。「ハンコク」は韓国を指す韓国語で、「ファントム」は感染チェーン全体で使われるステルス性や回避技術を表しています。
APT37は、InkySquid、ScarCruft、Reaper、Group123、RedEyes、Ricochet Chollimaなど多くの別名で知られるサイバースパイグループです。
このグループは少なくとも2012年から活動しており、北朝鮮政権と関係があると考えられています。
主な標的は韓国の公共および民間部門で、最近のスピアフィッシングキャンペーンでは、ウクライナ戦争でロシアを支援する北朝鮮兵士の関与に関する文書を悪用した誘導が使われています。
2017年には、APT37は標的範囲を朝鮮半島外の日本、ベトナム、中東、さらに化学、電子、製造、航空宇宙、自動車、医療など幅広い業界に拡大しました。
「[オペレーション・ハンコク・ファントム]キャンペーンの分析は、APT37が引き続き高度にカスタマイズされたスピアフィッシング攻撃を展開し、悪意あるLNKローダー、ファイルレスなPowerShell実行、秘密裏の情報流出メカニズムを活用していることを浮き彫りにしています」とSeqriteの研究者は結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/north-korea-apt37-spear-phishing/