北朝鮮系の脅威アクターが、ブロックチェーン技術を用いた分散型マルウェアを活用し、サイバー作戦を大幅に拡大させていることが分かった。シスコのセキュリティ部門「Talos」とグーグル傘下の「Threat Intelligence Group」の調査で明らかになったもので、暗号資産を狙う攻撃の高度化を示唆している。
進化するマルウェア技術が示す拡大する能力
シスコTalosの研究者は、北朝鮮のグループであるFamous Chollimaによる継続的なキャンペーンを特定した。このグループは、BeaverTailとOtterCookieという2つの補完的なマルウェアを使用している。これらのプログラムは、従来は資格情報の窃取やデータの流出に使用されていたが、現在では新たな機能を統合し、より密接に連携するよう進化している。
スリランカの組織に関与する最近の事件では、攻撃者が求職者を技術評価の一部として偽装した悪意のあるコードをインストールさせた。組織自体は直接の標的ではなかったが、シスコTalosのアナリストは、OtterCookieに関連するキーロギングとスクリーンショットモジュールも観察し、偽の求人に関与する個人に対する広範なリスクを浮き彫りにした。このモジュールは、キーストロークを密かに記録し、デスクトップ画像をキャプチャし、自動的にリモートコマンドサーバーに送信していた。
Sponsoredこの観察結果は、北朝鮮に関連する脅威グループの進化と、無防備な標的を妥協させるためのソーシャルエンジニアリング技術への注力を強調している。
指令インフラとしてのブロックチェーン活用
GoogleのThreat Intelligence Group(GTIG)は、北朝鮮に関連するアクターUNC5342による作戦を特定した。このグループはEtherHidingという新しいマルウェアを使用している。このツールは、悪意のあるJavaScriptペイロードをパブリックブロックチェーン上に隠し、分散型のコマンド&コントロール(C2)ネットワークに変える。
ブロックチェーンを使用することで、攻撃者は従来のサーバーを使わずにマルウェアの動作をリモートで変更できる。法執行機関による摘発が非常に困難になる。さらに、GTIGは、UNC5342がPalo Alto Networksによって以前に特定されたContagious InterviewというソーシャルエンジニアリングキャンペーンでEtherHidingを適用したと報告し、北朝鮮に関連する脅威アクターの持続性を示している。
求職者を狙った暗号資産とデータの窃盗
Googleの研究者によると、これらのサイバー作戦は通常、暗号資産やサイバーセキュリティ業界の専門家を対象とした偽の求人投稿から始まる。被害者は偽の評価に参加するよう招かれ、その過程で悪意のあるコードが埋め込まれたファイルをダウンロードするよう指示される。
感染プロセスは、JadeSnow、BeaverTail、InvisibleFerretを含む複数のマルウェアファミリーを伴うことが多い。これらを組み合わせることで、攻撃者はシステムにアクセスし、資格情報を盗み、ランサムウェアを効率的に展開できる。最終的な目的は、スパイ活動や金融窃盗から長期的なネットワーク侵入に至る。
シスコとGoogleは、北朝鮮に関連するサイバー脅威を検出し対応するための妥協指標(IOCs)を公開している。これらのリソースは、悪意のある活動を特定し、潜在的な侵害を軽減するための技術的な詳細を提供する。研究者は、ブロックチェーンとモジュラーマルウェアの統合が、世界的なサイバーセキュリティ防御の取り組みをさらに複雑にする可能性があると警告している。
