TokyoBlackHatNews

theregister.com 4分で読了

北朝鮮の疑いがあるデジタル侵入者が米国の医療・教育機関への侵入を確認

北朝鮮とのつながりが疑われるデジタル侵入者が、少なくとも12月以来、これまで見たことのないバックドアで米国の教育・医療部門に感染させているとセキュリティ研究者が述べています。

「複数の教育機関が感染していることが確認されました。その中には他の複数の機関と接続されている大学も含まれており、より広範な攻撃面の可能性を示唆しています」とCisco Talosの研究者チェタン・ラグプラサッドはThe Registerに語りました。「さらに、影響を受けた機関の1つは医療施設で、特に高齢者介護施設でした。

「現在の侵入事件の被害者特性に基づくと、攻撃者は金銭的利益の動機を持つ可能性が高いです」とラグプラサッドは付け加えました。

Talosは進行中のキャンペーンを検出し、UAT-10027として追跡されるグループに属するものとし、ラザルスグループおよび他の平壌後援ギャングとの類似性に基づき「低い信頼度で」北朝鮮の集団であると述べています。

攻撃者は社会工学とフィッシングを通じて初期アクセスを獲得する可能性が高く、多段階の感染は最終的に新しいバックドア「Dohdoor」を配信します。これはラザルスグループのLazarloaderマルウェアと同様の技術的特性を共有しています。

アクセスを獲得した後(フィッシングメールを通じた可能性がある)、侵入者はPowerShellダウンローダーを実行し、リモートステージングサーバーからWindowsバッチスクリプトドロッパーを実行します。バッチスクリプトは、動的リンクライブラリ(DLL)サイドロード技術を調整して「propsys.dll」または「batmeter.dll」という名前の悪意のあるWindowsDLLを実行します。

まったく新しいDohdoor

Talosが「Dohdoor」と呼ぶDLLはローダーとして機能し、悪意のあるペイロードをダウンロード、復号化、正当なWindowsプロセス内で実行します。これにより、侵入者は被害者の環境へのバックドアアクセスが可能になり、次のペイロード(Cobalt Strike Beacon)をマシンのメモリにダウンロードできます。

UAT-10027は、検出を回避するためにいくつかのステルス技術を使用しており、Cloudflareインフラストラクチャを使用してコマンド・アンド・コントロール(C2)ドメインをセットアップし、「DNS-over-HTTPS」と呼ばれる技術を使用してC2サーバーIPアドレスを解決します。これにより、攻撃者はDNSセキュリティツールをバイパスできます。すべてのアウトバウンドトラフィックが信頼できるIPアドレスへの正当なHTTPSトラフィックのように見えることを確保することでバイパスします。

Dohdoorはプロセスホローイングと呼ばれる技術も使用して、正当なWindowsバイナリにペイロードを挿入し、マルウェアが検出されずに実行されることを可能にします。

さらに、Talosは新しいバックドアがエンドポイント検出応答(EDR)バイパス技術を使用してWindowsAPIコールを監視するエンドポイントセキュリティツールをバイパスしていることを観察しました。バックドアはntdll.dllのユーザーモードフックを通じてシステムコールをアンフッキングすることでこれを行います。

「EdR監視をバイパスするために使用されるNTDLL Unhooking技術は、システムコールスタブを識別および復元することは、以前のLazarloaderバリアントで見つかった機能と一致しています」とTalosの研究者アレックス・カーキンとチェタン・ラグプラサッドが木曜日のレポートで述べました。

彼らはまた、Cloudflareのドメインネームサービス経由のDNS-over-HTTPS(DoH)の使用、プロセスホローイング技術、および偽った名前「propsys.dll」で悪意のあるDLLをサイドロードすることが、すべて以前のラザルスキャンペーンで使用されていることに注目しました。

「UAT-10027のマルウェアはラザルスグループと技術的な重複を共有していますが、教育および医療部門に焦点を当てたキャンペーンはラザルスの暗号通貨および防衛ターゲティングの典型的なプロフィールから逸脱しています」と彼らは述べました。

この主張は若干時代遅れかもしれません。シマンテックとカーボンブラック脅威ハンターは今週初めにラザルスが少なくとも1つの米国医療機関をターゲットとした恐喝攻撃でMedusaランサムウェアを使用し始めたと警告しました

ラザルスの最も多産なサブグループの1つであるAndarielは、北朝鮮の軍事諜報機関のサイバー部門として機能し、以前は医療部門を含む侵入でMauiおよびPlayランサムウェアを使用していました。さらに、平壌の情報収集ゴリラ隊の別のもう1つであるKimsukyは、そのキャンペーンで教育部門攻撃しています。®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/27/suspected_nork_digital_intruders_caught/

ソース: go.theregister.com
#Dohdoor #EDRバイパス #Lazarus Group #サイバー攻撃 #バックドア #マルウェア #ランサムウェア #北朝鮮 #医療機関 #教育機関

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張