使い捨てコード：北朝鮮の「検出時焼却」マルウェア組立ラインの内部

北朝鮮は長年にわたって悪意あるソフトウェア開発を洗練された組立ラインに変貌させてきた。そこでは各ツールが短い運用寿命を特徴としながらも、単一の目的に対して綿密に調整されている。この戦略的パラダイムにより平壌は、サイバー諜報、資金流出、破壊的侵入の同時キャンペーンを指揮することができ、それぞれのアクセスチャネル、インフラ、ソースコードを混同することがない。

アンチウイルス＆マルウェア

DomainToolsのアナリストらは、北朝鮮の兵器庫の明らかな断片化は、システム的混乱ではなく、成熟で回復力のあるアーキテクチャの指標であると述べている。朝鮮民主主義人民共和国は、単一の一枚岩的プラットフォームに依存するのではなく、複数の並行開発パイプラインを維持していると報告されている。各系統は特定の任務に合わせて調整されており、1つのマルウェアファミリーの無力化がより広いエコシステムの完全性を危機に陥れないようになっている。

このアプローチの根拠は明らかである。数十年にわたる国際制裁は体制のハードカレンシーへのアクセスを制限してきたが、情報機関と法執行機関による積極的な公開は個々のキャンペーンの有効性を縮小させてきた。新しいツールが暴露されると、セキュリティプロバイダーはすぐにその署名を防御リポジトリに統合し、その有用性の急激な低下をもたらす。これに対応して、北朝鮮の運用者は侵害されたツールの急速な「焼却」と新しいイテレーションの瞬時の置き換えを容易にするためにワークフローを再構築した。

諜報目的のため、省庁、防衛請負業者、学術機関、シンクタンクを標的とした別個のリソーススイートが展開される。ここでの目的は派手な攻撃ではなく、情報の秘密裡かつ継続的な収集である。これらの作戦は通常、PowerShellまたはVisual Basicスクリプト、武装化されたドキュメント、電子メールと認証情報キャッシュの継続的な監視を利用し、コマンド・アンド・コントロール通信を正規のクラウドサービス内に隠蔽することが多い。Kimsuyグループはこの特定のベクトルと最も頻繁に関連付けられている。

一方、専用のパイプラインが資本流出の管理を行い、露出のリスクが許容できると見なされるより高い運用テンポが特徴である。標的には暗号資産取引所、ブロックチェーン開発者、分散型ファイナンスプラットフォーム、ソフトウェアサプライチェーンが含まれる。これらの侵入は、ウォレット流出スクリプト、クリップボード操作技術、オープンソースパッケージまたは侵害されたアップデートへの悪意あるコード注入を使用する。これらの操作用インフラは絶え間ない速度で循環されている。Lazarusグループはこれらの金銭的捕食の主要な設計者と広く考えられている。

第3の系統は実証的かつ破壊的な攻撃に予約されており、意図は金銭的利益でも長期的な永続性でもなく、政治的メッセージを伝えるために明白な損害を与えることである。これはデータワイパーと疑似ランサムウェアを含む。進入後、運用者は複数のシステムを同時に麻痺させるための急速な横展開を優先する。このような戦術はしばしばAndarielグループに帰属される。

目的の相違にもかかわらず、共通点は存在する。ペイロードパッキング、ローダー、暗号化技術における共有方法論は、様々なマルウェアファミリー全体で繰り返される。さらに、キャンペーンは複雑な技術的エクスプロイトからではなく、人間の信頼を悪用するソーシャルエンジニアリングに由来することが多い。ネットワーク内に一度侵入すると、北朝鮮のアクターは「ランド・オブ・ザ・ランド」を好み、ユビキタスなクラウドプラットフォームと開発ツール内に活動を隠蔽して、トラフィックが正規に見えるようにしている。

このモデルは朝鮮民主主義人民共和国に複数の戦略的利点をもたらす。1つのツールの侵害は付随的な操作の中断に失敗し、異なるコードベースとサーバーの使用は帰属を複雑にし、防御対抗措置を妨害する。セキュリティ実務者にとって、その含意は陰鬱である。ファイルシグネチャのみに依存することは、コードを使い捨て商品として扱う敵対者に対しては不十分である。代わりに、行動異常、認証情報セキュリティ、サプライチェーンの完全性の監視へと重点をシフトする必要がある。

他の国家支援型アクターは定期的にツールセットをリフレッシュするが、北朝鮮はこの哲学を極端に押し進めている。マルウェアは保存すべき貴重な資産ではなく、消費され置き換えられるべき消耗品と見なされている。したがって、北朝鮮のデジタル兵器庫の当惑させるような多様性は、継続的な精査に耐え、損失を吸収し、並行して異なる国家的要件を充たすために最初から設計されたシステムの証である。