研究者らは、これまで文書化されていなかったマルウェアファミリーを発見し、Lazarus Groupとして知られる北朝鮮の脅威アクターの一派であるAndarielが犯した運用上の誤りを明らかにしました。
Kasperskyは本日公開したアドバイザリでこの調査結果を説明し、同グループの戦術を分析するとともに、「EarlyRat」と呼ばれる新たな脅威の出現を明らかにしました。
「サイバー犯罪の広大な世界では、流動的な構成で活動する多数のプレイヤーやグループに遭遇します」 と、Kasperskyのグローバル・リサーチ&アナリシス・チーム(GReAT)のシニア・セキュリティ・リサーチャーであるJornt van der Wiel氏はコメントしました。
「グループが他者のコード、さらには独立した存在と見なせるアフィリエイトのコードを採用し、異なる種類のマルウェアを切り替えながら利用することは一般的です。」
北朝鮮のハッカーに関する記事を読む:米国、北朝鮮ハッカーに関する情報への報奨金を倍増
Andarielグループは、DTrackマルウェアとMauiランサムウェアの使用で知られています。注目を集めたのは2022年半ばが最初でした。
Log4jの脆弱性を悪用し、AndarielはYamaBotやMagicRatを含むさまざまなマルウェアファミリーに加え、NukeSpedとDTrackの更新版を投入しました。
無関係の調査の過程で、Kasperskyの研究者らはAndarielのキャンペーンを発見し、さらに深掘りすることを決めました。
調査により、AndarielはLog4jのエクスプロイトを実行して感染を開始し、コマンド&コントロール(C2)サーバーから追加のマルウェアをダウンロードすることが明らかになりました。
特に、研究者らは人間のオペレーターによるコマンド実行を観測し、多数のミスやタイプミスを確認しました。これにより、経験の浅い人物がこの作戦の背後にいることが示唆されました。
研究者らはまた、EarlyRatとして知られる新たなマルウェアファミリーも特定しました。当初はLog4j経由でダウンロードされると考えられていましたが、さらなる分析により、EarlyRatの主な配布手段はフィッシング文書であることが判明しました。
リモートアクセス型トロイの木馬(RAT)に分類されるこのマルウェアは、システム情報を収集し、特定のテンプレートを用いてC2サーバーと通信します。
「LazarusのAndarielのようなAPTグループのサブグループは、ランサムウェアの展開といった典型的なサイバー犯罪活動に従事しています」 と、van der Wiel氏は説明しました。
「Andarielで行ったように、戦術・技術・手順(TTP)に焦点を当てることで、アトリビューションに要する時間を大幅に短縮し、攻撃を初期段階で検知できます。」
Kasperskyのアドバイザリは、ブロックチェーン分析企業EllipticがLazarus Groupを Atomic Walletの強奪事件に関連付けた数週間後に発表されました。
翻訳元: https://www.infosecurity-magazine.com/news/andariels-mistakes-uncover-new/
