ScarCruftまたはKonniとしても知られる敵対的集団APT-C-28は、暗号資産企業およびWeb3開発チームに対する精密攻撃を組織し、活動範囲を拡大している。この新たな活動の急増は、標的型脅威の定常的な監視の過程で、360 Advanced Threat Research Instituteによって特定された。このキャンペーンは、スピアフィッシング、多段階のマルウェア展開、そしてこれまで文書化されていなかったリモート管理ツールを巧みに組み合わせている。
攻撃の初期段階では、犯行者は100万〜300万ドル規模の投資提案に基づく「おとり」を含むZIPアーカイブを配布する。内部には文書と、投資家プロフィールを含むPDFファイルを装った欺瞞的なLNKショートカットが隠されている。これらのファイル名は、スタートアップ資金調達に関する正規の企業間連絡を模倣するよう、綿密に選定されている。ショートカットを実行すると、システム内のPowerShellを探索し、埋め込まれたロジックを復号し、主要な悪性モジュールを揮発性メモリへ直接生成する一連の秘匿コマンドが起動される。
この初期段階では、サンドボックスやクラウドベースの仮想化の存在を特定するため、厳格な環境監査が行われる。仮想インフラが検出された場合、解析を回避するため展開プロセスは即座に終了される。逆に環境が実機と判断されると、モジュールはシステムプロセスおよびユーザーファイルに関するテレメトリを収集し、データをリモートのリポジトリへ送出する。その後、正規のAutoItインタープリタを悪用して秘匿スクリプトを実行するため、二次コンポーネントが取得される。
この兵器群の最終手段は、高度なバックドアであるMiradorShellバージョン2.0だ。リモートでのコマンド実行、双方向のファイル転送、ディレクトリ列挙、そしてデータの秘匿削除やプログラムの生成を可能にする。オーケストレーションは、C2(コマンド&コントロール)サーバーへのリバースTCP接続によって管理される。永続化を確実にするため、マルウェアは相互排他(mutex)機構を利用し、5分ごとに実行されるよう設定されたスケジュールタスクを作成する。侵害された各マシンの一意識別子は、特定のハードウェアパラメータから合成される。
コマンド基盤は特に注目に値する。複数の事例で、モジュールの取得元が韓国のテクノロジー企業Techcross-WNEのドメインにまで追跡された。ディレクトリ構造と使用されているライブラリに基づき、研究者は当該サイトが侵害され、プラグインディレクトリ内で悪性ペイロードをホストするために利用されたと推測している。このような戦術は、敵対的なネットワークトラフィックを、信頼されたリソースとの正当な通信として効果的に偽装する。
コーディングスタイル、LNKベースの感染チェーンの利用、ネットワークリクエストの整形、永続化機構など、複数の指標の収束に基づき、この作戦はAPT-C-28によるものだと確信をもって帰属されている。このグループは2014年以降、朝鮮半島の公共部門を従来の主対象として活動してきたが、その戦略的関心は、急成長する暗号資産セクターへとますます移行しつつある。
