韓国と米国の情報機関、北朝鮮によるサイバー攻撃の脅威に関する勧告を共同で発表

韓国と米国の複数の情報機関が、北朝鮮の国家が支援するランサムウェア集団についてのサイバーセキュリティアドバイザリを共同で発表しました。

背景

米国連邦捜査局とサイバーセキュリティ・インフラセキュリティ庁は、#StopRansomware キャンペーンの一環として、韓国の国家情報院および国防安全保障局と協力して共同サイバーセキュリティアドバイザリ (CSA) を発表しました。 このアドバイザリでは、北朝鮮の国家支援を受けた攻撃者の活動に焦点を当て、その戦術、テクニック、手順 (TTP: Tactics, Techniques and Procedures)、障害の痕跡、これらの攻撃に対する緩和策をいくつか紹介しています。

このアドバイザリは、2022 年 7 月に発表された CSA (攻撃者がヘルスケア企業に対して Maui ランサムウェアを使用したことが記載されている) を補足するものです。 Maui の使用は、北朝鮮の攻撃者である Andariel (別名 BeagleBoyz、Lazarus、APT38、ほか多数の俗称) につながるとされています。 この CSA が発表された 1 週間後、Microsoft は H0lyGh0st ランサムウェアの使用を同じ攻撃者によるものと判断しました。

この脅威グループは 2014 年から活動を続け、2016 年に SWIFT 銀行システムをハッキングして 8100 万ドルを強奪したバングラデシュ銀行強盗、2017 年に英国の国民保健サービスのネットワークに深刻な影響を与えた WannaCry 攻撃、2022 年に 5 億 4000 万ドル相当の被害を与えた Axie Infinity ハッキングなど、注目を集めた複数の強盗事件に関与しています。 このグループの 3 人のメンバーは、13 億ドル以上の窃盗や恐喝が行われた攻撃に関与した容疑で米国で起訴されました。

戦術、テクニック、手順

アドバイザリによると、これらの攻撃者は不正に入手した暗号通貨を使用して、ドメイン、ペルソナ、アカウントなどのインフラを取得します。 また、正体を隠すために、第三者機関を利用して身代金の支払いを受け取ります。 攻撃者は、身元の特定をさらに難しくするために、北朝鮮以外の国の仮想プライベートネットワーク/サーバーや IP アドレスを使用します。

最初の足掛かりを確保

最近では、この脅威グループが CVE-2022-24990、CVE-2021-44228 (Log4Shell)、CVE-2021-20038 を悪用して、標的の環境への足掛かりを得ていることが観測されています。

CVE-2022-24990 は、Terramaster NAS システムの情報開示の脆弱性であり、認証されていないリモートの攻撃者による管理パスワードの発見が可能になります。 この脆弱性は 2023 年 2 月にパッチが適用されました。

CVE-2021-44228 は 2021 年 12 月に公開された、log4j でのリモートコード実行につながる悪名高い脆弱性で、Log4Shell とも呼ばれています。 2022 年 10 月 1 日時点で、72% の企業が Log4Shell に対して脆弱なままでした。

CVE-2021-20038 は、SonicWall アプライアンスファームウェアにおける重大なバッファオーバーフローの脆弱性であり、2021 年 12 月にパッチが適用されました。

攻撃者たちは、トロイの木馬化された X-Popup (韓国の複数の小規模病院で使われているメッセンジャーアプリケーション) も使用して、xpopup.pe[.]kr と xpopup[.]com という 2 つの悪質なドメインでマルウェアを拡散しました。

偵察とラテラルムーブメント

攻撃者は、アクセスの足掛かりを得た後、カスタマイズされたマルウェアを使用して偵察を行い、コマンドを実行し、ファイルのアップロードやダウンロードを行います。 そして標的データを、攻撃者が管理するリモートシステムに持ち出します。 先のアドバイザリには記載されていませんが、この攻撃グループはスパイ行為に関連した侵害で探索と資格情報の収集を行うために Active Directory を使用していました。

ターゲットファイルの暗号化と身代金要求

ランサムウェア Maui と H0lyGh0st の使用はこれらの攻撃者の仕業とされていますが、このグループは、BitLocker などの正規の暗号化アプリケーションと、他のランサムウェア集団の暗号化ツール (LockBit や GonnaCry など) を使用することで知られています。 この攻撃者たちは、他のグループになりすますことで知られ、 通常はビットコインでの身代金支払いを要求します。 標的企業とのやり取りには ProtonMail のメールアカウントが使われますが、その理由はおそらく当サービスのエンドツーエンド暗号化でプライバシーを強化するためです。 攻撃者は、ヘルスケア企業を標的としていることが観測されており、身代金が支払われない場合はその企業の非公開データを直接的な競合他社に流すと頻繁に脅迫していました。

影響を受けているシステムの特定

こういった攻撃者が使用する戦術、テクニック、手順 (TTP) を調べる際に重要なのは、悪意のある攻撃者は常に戦術を変え、さまざまな既知の悪用されうる脆弱性や、設定ミスを悪用している事実に留意することです。 北朝鮮の国家支援が疑われるもう 1 つの攻撃者集団、Lazarus グループによる最近のキャンペーンでは、Zimbra Collaboration Suite (CVE-2022-27925 と CVE-2022-37042) を悪用したことが観測されており、情報窃取と持続性維持を目的とした RDP や新型マルウェアなどのさまざまなツールが使用されています。 このように、攻撃者の作戦は常に進化しているため、立ち向かうにはサイバーエクスポージャー管理に対する包括的なアプローチが必要になります。

Tenable One サイバーエクスポージャー管理プラットフォーム は、公開された CVE (共通脆弱性識別子) の検出と修正を中心とした、従来の脆弱性管理の域を超えたソリューションです。Tenable One は、サイバーエクスポージャー管理対策の基礎となる必須情報を提供します。

アドバイザリに記載されている緩和策リストを鑑みると、Tenable の Active Directory セキュリティソリューションは、関連する露出インジケーター (IoE) を企業が確認する際に役立ちます。具体的には、脆弱なパスワードポリシーの使用、サポートが終了したオペレーティングシステムの実行、特権アカウントの監査、Active Directory の PKI での弱い暗号アルゴリズムの使用に関連するインジケーターです。企業を危険にさらす可能性のある設定ミスに着目して AD 環境を確認することを強くお勧めします。

さらに、Tenable では本ブログで取り上げた CVE のプラグインカバレッジを提供しています。 ダイナミックにフィルターされたリストを こちら からご覧ください。

詳細情報

• 北朝鮮のランサムウェア集団に関する共同 CSA

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

Tenable One、DX 時代のアタックサーフェスのためのエクスポージャー管理プラットフォームの詳細はこちらから