北朝鮮と連携するサイバー諜報シンジケート「Andariel」は、欧州および韓国の組織を標的とした高度な攻撃を通じて、その存在感を改めて示した。WithSecure による包括的な分析は、この集団が政府の枠組みに対する監視を強化しているだけでなく、独自の兵器庫を積極的に洗練させ、これまで文書化されていなかったリモートアクセス型トロイの木馬(RAT)を投入していることを明らかにしている。
2025年、専門家は欧州における秘密裏の侵入を捕捉した。主な標的は公共部門の機関だった。攻撃者はTigerRATマルウェアを用いて永続的な足場を確立し、恒常的な侵入経路として利用した。この経路を通じて、彼らは手動でシステム操作を行い、テレメトリを収集し、ネットワーク構成全体にわたってラテラルムーブメントを実行した。
攻撃者が特に関心を示したのは、マネーロンダリング対策プロトコルに関する資料だった。調査担当者は、この作戦の本質的な目的は戦略的諜報であり、国際制裁を回避するために機微な情報を入手しようとする北朝鮮(DPRK)のより広範な要請と整合すると主張している。
調査によりさらに、Andarielが運用するステージング用 サーバーの存在も明らかになった。そこには攻撃用ツール群とコマンド&コントロール(C2)インフラが収容されていた。このリポジトリのフォレンジック調査により、韓国を中心とする大規模なキャンペーンが露見し、同グループが主要なERP(Enterprise Resource Planning) ソフトウェア提供企業に侵入していたことが判明した。この提供企業のソリューションは公共部門、IT、医療、製造業にまたがる2,200超の組織で利用されているため、システム全体が侵害され得る潜在性は極めて大きかった。
攻撃は更新サーバーの乗っ取りという形で実行された。正規のERPバイナリが悪性の成果物に置き換えられ、JelusRAT、StarshellRAT、GopherRATという3つの新たなトロイの木馬が密かにインストールされた。これらのツールにより、攻撃者は感染ホストを遠隔操作し、ファイルを持ち出し、画面画像を取得し、秘匿された通信チャネルを確立できる。
報告書は、Andarielが最先端の回避戦術、とりわけBYOVD(Bring Your Own Vulnerable Driver)手法を採用している点を強調している。脆弱性を抱える正規ドライバーを武器化してアンチウイルスおよびEDR(Endpoint Detection and Response)システムを無力化することで、同グループは技術的成熟の高まりと、作戦上の不可視性への強いこだわりを示している。
WithSecureによれば、Andarielは北朝鮮のサイバー領域における最重要級の脅威アクターであり続けている。歴史的には朝鮮半島に局在していた作戦も、現在では世界規模に広がり、目的は金銭的利益と古典的な諜報の間で変動している。革新的なツール群と実戦で鍛えられた手法を融合させる同グループは、国家機関と多国籍企業の双方にとって手強い敵となっている。
翻訳元: https://meterpreter.org/the-erp-breach-north-koreas-andariel-group-strikes-europe-with-new-malware/
