執筆者
Palo Alto Networksによると、北朝鮮の支援を受けたハッキンググループが、初めてランサムウェア・キャンペーンに関与した。
朝鮮人民軍の偵察総局に関連するハッキンググループ「Jumpy Pisces」が、最近のランサムウェア事案に関与していたことが、10月30日に公開されたPalo Altoの脅威インテリジェンスチーム「Unit 42」の新しい報告書で明らかになった。
これは、この国家支援グループの戦術の変化を示すものであり、金銭目的のサイバー脅威アクターと関与した初の事例となる。
Jumpy PiscesとPlayの協力
2024年9月上旬、Unit 42はPlayランサムウェアの影響を受けた顧客に対し、インシデント対応サービスを提供した。
Playは2022年に初めて検出され、現在では最も活発なランサムウェア集団の一つとなっている。Palo Altoはこのグループを「Fiddling Scorpius」として追跡している。
調査の結果、Unit 42は2024年5月末に不正活動の最初の兆候を確認した。研究者らは高い確信度で、これはJumpy Piscesによるものであり、同グループが侵害されたユーザーアカウントを通じて初期アクセスを獲得したと評価した。
この北朝鮮のグループは、Server Message Block(SMB)プロトコルを介して、オープンソースツール「Sliver」と独自のカスタムマルウェア「DTrack」を他のホストに展開することで、横展開を実施し、永続化を維持した。
これらのツールは9月上旬までJumpy Piscesのコマンド&コントロール(C2)サーバーとの通信を継続した。最終的に、これがPlayランサムウェアの展開につながった。
「Jumpy Piscesが正式にPlayランサムウェアのアフィリエイトになったのか、それとも初期アクセスブローカー(IAB)としてPlayランサムウェアのアクターにネットワークアクセスを販売したのかは、依然として不明である」とUnit 42の研究者は記している。
しかし、Playは自らのデータリークサイト(DLS)で、ランサムウェア・アズ・ア・サービス(RaaS)モデルでは運営していないと主張しており、IAB仮説の方が可能性が高いことを示唆している。
「いずれにせよ、このインシデントは、Jumpy Pisces[…]と地下のランサムウェア・ネットワークとの間で記録された初の協力であるという点で重要だ」とUnit 42の研究者は述べた。「この動きは、将来的に北朝鮮の脅威グループがより広範なランサムウェア・キャンペーンに一層参加する傾向を示す可能性があり、世界的により広範で破壊的な攻撃につながる恐れがある。」
侵入の戦術とツール
Jumpy Piscesは、侵害されたユーザーアカウントがファイアウォール経由で特定のホストにアクセスした後、不正な初期アクセスを獲得した。ホスト上のレジストリの部分ダンプは、Impacketの認証情報収集モジュールsecretsdump.pyが使用された可能性を示している。
攻撃者は、侵害されたアカウントを用いてSMB経由で、SliverおよびDTrackマルウェア・ファミリーに関連するファイルを複数のホストにコピーした。
DTrackは標的のエンドポイント検知・対応(EDR)ソリューションによってブロックされた。しかしUnit 42は、2024年9月上旬まで複数日にわたってSliverのビーコン通信活動を観測しており、7月には静かな期間があり、他の日にも断続的に静穏期が見られた。
身元不明の脅威アクターが、9月上旬に同じ侵害されたユーザーアカウントを通じてネットワークに侵入した。彼らは、認証情報の収集、権限昇格、EDRセンサーのアンインストールなど、ランサムウェア展開前の活動を実施し、最終的にPlayランサムウェアの展開に至った。
攻撃者はSliverとDTrackに加え、リモートデスクトッププロトコル(RDP)を有効にした被害者マシン上で特権ユーザーアカウントを作成するために構築された専用ツール、カスタマイズ版Mimikatz、一般公開されている認証情報ダンプツール、そしてChrome、Edge、Braveの各ブラウザから閲覧履歴、オートフィル、クレジットカード情報を窃取するトロイの木馬化されたバイナリを使用した。
これらのツールはいずれも、以前にJumpy Piscesと関連付けられていた複数の無効な証明書で署名されていた。
翻訳元: https://www.infosecurity-magazine.com/news/north-korean-hackers-collaborate/
