TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

北朝鮮のAPT37、エアギャップネットワークを侵害するためにツールキットを拡張

北朝鮮に関連するサイバースパイグループが、リムーバルメディア感染ツールを使用してエアギャップシステムにアクセスするための新しい悪意あるキャンペーンを展開しているのが確認されています。

APT37というグループは、2012年以降少なくとも活動している有名なハッキングチームであり、ScarCruft、Ruby Sleet、InkySquid、Ricochet Chollima、Velvet Chollimaを含む多くの名前で知られています。

最初は韓国の公共部門と民間部門に焦点を当てていましたが、グループは2017年に日本、ベトナム、中東を含む地域に活動を拡大し、化学、電子機器、製造、航空宇宙、自動車、医療部門など、より広い産業分野に拡大しました。

Zscaler ThreatLabzのセキュリティ研究者によって発見された「Ruby Jumper」という新しいキャンペーンでは、APT37は攻撃ライフサイクル全体を通じて6つの悪意あるツールを使用しました。そのうち5つは今までドキュメント化されていません(Restleaf、SnakeDropper、ThumbSBD、VirusTask、FootWine)。

また、リムーバルメディアを使用してエアギャップシステム間で感染させ、コマンドと情報を受け渡しました。

APT37のRuby Jumperキャンペーンの説明

Ruby Jumperキャンペーンは、2025年12月にThreatLabzチームによって発見されました。

このキャンペーン中、2月26日に公開されたレポートで文書化されているように、APT37はグループの伝統的な方法である、Windowsショートカット(LNK)ファイルを悪用してアクセスを取得しました。

被害者が悪意あるLNKファイルを開くと、PowerShellコマンドが起動され、ファイルサイズに基づいて現在のディレクトリをスキャンして自身を特定します。その後、LNKファイルによって起動されたPowerShellスクリプトは、LNK内の固定オフセットから複数の埋め込まれたペイロードを抽出します。これには、デコイドキュメント、実行可能なペイロード、追加のPowerShellスクリプト、バッチファイルが含まれます。

このドキュメントは、北朝鮮の新聞からアラビア語に翻訳されたパレスチナ・イスラエル紛争についての記事を表示しています。

APT37のRuby Jumperキャンペーンで使用されたアラビア語のデコイドキュメント。出典:Zscaler ThreatLabz

実行可能なペイロードは、ThreatLabzチームによってRestleafと命名された新たに発見されたインプラントであり、Zoho WorkDriveをコマンドアンドコントロール(C2)通信に使用して追加のペイロードを取得します。

「私たちの知る限り、これはAPT37がZoho WorkDriveを悪用した初めてのケースです」と研究者は指摘しました。

RestLeafは侵害されたシステムをプロファイルし、Zoho WorkDriveから後続コンポーネントを取得する前に永続性を確立します。その中にはSnakeDropperがあり、メモリ内の追加モジュールを復号化および展開する責任があるローダーで、ディスク上のアーティファクトを削減します。

最初に感染したホスト以上のアクセスを拡張するために、APT37はThumbSBDを展開します。これはリムーバルメディア経由で伝播するように特別に設計されたツールです。

ThumbSBDは接続されたUSBドライブを監視し、カスタマイズされた感染パッケージをそれらにコピーし、ドライブが別のシステムで開かれたときに実行を確保するためにショートカットファイルを悪用します。これにより、隔離またはセグメント化された環境への横展開が可能になります。

USBデバイスがエアギャップマシンに到達すると、感染チェーンが再開されます。

VirusTaskは軽量なバックドアとして実行され、システム情報を収集し、流出のためのデータをステージングします。システムが直接的なインターネットアクセスを持たないため、APT37は再びリムーバルメディアに依存します。盗まれたデータは非表示または難読化された形式でUSBドライブに書き込まれます。

オペレータはまた、FootWineを展開します。これはドキュメント収集とリムーバルドライブアクティビティの監視に焦点を当てた偵察および収集ユーティリティであり、貴重なデータが抽出キューに入っていることを保証します。

これらの新しいコンポーネントをサポートしているのはBlueLight、コマンド実行とデータ盗難に使用される以前に文書化されたAPT37ツールです。接続された環境では、BlueLight は外部 C2 インフラストラクチャと通信します。エアギャップシナリオでは、USB経由の遅延流出のためのタスキングとデータステージングを促進します。

APT37 Ruby Jumperキャンペーン攻撃フロー。出典:Zscaler ThreatLabz

翻訳元: https://www.infosecurity-magazine.com/news/north-korea-apt37-expands-toolkit/

ソース: infosecurity-magazine.com
#APT37 #LNKファイル攻撃 #Restleaf #Ruby Jumper #Zoho WorkDrive悪用 #エアギャップネットワーク #データ盗難 #マルウェア分析 #リムーバルメディア #北朝鮮

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新