サイバーセキュリティ企業Cisco Talosが発表した2つのレポートは、北朝鮮の脅威アクターLazarusによる新たな攻撃キャンペーンに関する情報を提供しています。これらのレポートは、Lazarusが同一のインフラを使い続けているにもかかわらず、新たなマルウェアやツールを使用していることを明らかにしています。
ジャンプ先:
- この新しいマルウェア攻撃チェーンとは何でしょうか?
- ラザルスグループの新たなマルウェア兵器
- Lazarusは同じインフラを再利用し続けている
- このセキュリティ脅威からビジネスを守る方法
この新しいマルウェア攻撃チェーンとは何でしょうか?
研究者らは、Lazarusグループが2023年初頭に英国のインターネットバックボーンインフラプロバイダーを侵害し、QuiteRATと呼ばれる新しいマルウェアを展開することに成功したことを確認した。
最初の侵害は、ZohoのManageEngine ServiceDeskに影響を与えるCVE-2022-47966の脆弱性を悪用することで行われました。脅威アクターは、概念実証が公開されてから5日後に、この脆弱性を悪用するエクスプロイトを悪用しました。エクスプロイトに成功した攻撃者は、少なくとも2022年5月からLazarusが使用していたIPアドレスにホストされていたQuiteRATマルウェアをダウンロードして実行しました。
マルウェアが実行されると、システムに関する初期情報をコマンドアンドコントロールサーバーに送信し、応答を待ちます。応答はマルウェアへの直接コマンド、またはcmd.exeプロセスを介して実行されるMicrosoft Windowsコマンドラインである可能性があります。初期情報は暗号化されてC2サーバーに送信されます。この初期情報は、ネットワーク構成情報(IPアドレスとMACアドレス)と現在ログインしているユーザー名で構成されます(図A)。
図A
ラザルスグループの新たなマルウェア兵器
Lazarus はこの攻撃キャンペーンで、QuiteRAT、CollectionRAT、DeimosC2、悪意のある Plink など、さまざまなマルウェアを使用しました。
クワイトラット
QuiteRATは、主にQtライブラリと開発者コードを使用して構築されたリモートアクセスツールです。このフレームワークは通常、グラフィカルユーザーインターフェースの開発に使用されるため、マルウェアの作成にQtが使用されることは稀です。Qtを使用すると、リバースエンジニアリングによるコードの解析が複雑になり、セキュリティソリューションによる機械学習やヒューリスティック検出の信頼性が低下する可能性があります。これは、Qtライブラリの使用が悪意のあるものとしてフラグ付けされない可能性があるためです。
Lazarusがマルウェア開発にQtフレームワークを使用したのは今回が初めてではありません。MagicRATマルウェアは既にQtフレームワークを使用しており、両者の類似点(例えば、同じ機能、同じエンコード方式、そして潜伏状態を維持するための類似機能など)から、QuiteRATはMagicRATから派生したものと考えられます。さらに、Cisco Talosは、彼らが観測したMagicRATの最終バージョンは2022年4月にコンパイルされたのに対し、発見したQuiteRATのサンプルは2022年5月と7月にコンパイルされたと指摘しています。これは、MagicRATからQuiteRATへの移行を示唆している可能性があります。QuiteRATはより小型でコンパクトなため、MagicRATのサイズは18MBであるのに対し、QuiteRATは約4MBから5MBです。
コレクションRAT
CollectionRATは、Lazarusによって使用され、おそらくはLazarusによって開発された別のRATです。このマルウェアは、Microsoft Foundation ClassライブラリベースのWindowsバイナリでパックされており、マルウェアコードを即座に復号して実行します。感染したシステムから情報を収集するほか、RATに通常備わっている様々な機能を提供します。例えば、データ収集、システム上で任意のコマンドを実行するためのリバースシェルの提供、ディスクの読み書き、追加のペイロードのダウンロードと実行などです。
研究者らは、CollectionRATがLazarusのサブグループAndarielに属するEarlyRATと呼ばれる別のマルウェアファミリーから派生した可能性を示唆する情報を発見しました。あるCollectionRATサンプルは、2021年のEarlyRATの旧バージョンと全く同じコード署名証明書を使用していました。
デイモスC2
DeimosC2は、オープンソースのポストエクスプロイトC2ツールであり、複数の通信手段を活用して、侵入したマシンを制御します。Lazarusは、初期アクセスおよび永続的なアクセス手段としてDeimosC2を使用します。
研究者らは、このインフラ上にLinux DeimosC2インプラントを発見しました。これは、脅威アクターが侵害されたLinuxベースのサーバーへの初期アクセス時にこれを展開する計画だったことを示しています。インプラントは大幅にカスタマイズされておらず、これはLazarusがまだテスト中、あるいは慣れつつある段階にあることを示している可能性があります。
インプラントには通常、コマンドの実行、資格情報の盗難、追加のペイロードのダウンロードと実行など、さまざまな RAT 機能が備わっています。
悪意のあるプリンク
Plink(別名PuTTY Link)は、ネットワーク管理者が必要に応じてリバーストンネリング機能を利用するために使用する、合法的なオープンソースツールです。Lazarusは以前はこのツールをそのまま使用していましたが、同グループはソースコードを改変し、リバーストンネリングのコマンド文字列をバイナリ自体に埋め込むようになりました。
Lazarusは同じインフラを再利用し続けている
北朝鮮の国家支援を受けるLazarusは、攻撃手段に多くの変更を加えているものの、「セキュリティ研究者によって長年にわたり十分に文書化されているにもかかわらず、ほぼ同じインフラストラクチャを使い続けている」とCisco Talosは指摘しています。これはセキュリティにとって朗報です。IT担当者や研究者が攻撃者を追跡し、防御することが容易になるからです。しかし、これはLazarusが自らの活動に十分な自信を持っており、攻撃インフラストラクチャを大幅に変更する必要はないと考えている可能性も示唆しています。
QuiteRATは、2022年にLazarusが使用したDeimosC2エージェントおよびMagicRATマルウェアと同じリモートロケーションで発見されました。このロケーションは、CollectionRATにも使用されていました。
Lazarus が使用するさまざまなツールとマルウェアはすべて、インフラストラクチャを使用して結び付けることができます (図 B )。
図B
このセキュリティ脅威からビジネスを守る方法
この攻撃キャンペーンでは、最初の侵害は、2022年11月頃に修正されたZohoのManageEngine ServiceDeskに影響を与える脆弱性を悪用することによって行われました。このセキュリティ脅威から身を守るためのヒントは次のとおりです。
- ソフトウェアとオペレーティング システムを最新の状態に保ち、パッチを適用します。
- セキュリティ ソリューションを使用してネットワークを監視します。
- この攻撃キャンペーンで公開されたマルウェアからの通信を検出するためのルールを作成します。
- 脅威の攻撃者が使用する IP アドレスを監視します。
- 組織への攻撃に使用される可能性のあるマルウェアやツールを検出するため、エンドポイントとサーバーにセキュリティソリューションを導入してください。これらのソリューションは、メールの内容、添付ファイル、悪意のあるコンテンツへのリンクも監視する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
