はじめに
北朝鮮がWindowsユーザーを標的にした悪意のあるパッケージを活用して、サイバー攻撃を仕掛けていることが判明しました。
記事の翻訳
Damien Black (Senior Journalist)による記事です。
ReversingLabsのサイバーセキュリティ研究者は、VMConnectを約1か月間追跡した結果、MacOS、Linux、およびWindowsシステムを標的とした悪意のあるキャンペーンが、北朝鮮の脅威グループLazarusに起因していることを発表しました。
ReversingLabsは、8月初旬にVMConnectキャンペーンを最初に発見しました。サイバーセキュリティの研究者でブロガーのKarlo Zanki氏は、このキャンペーンは、オープンにアクセス可能なPyPIソフトウェアリポジトリに投稿された “悪意のあるPythonパッケージ “で構成されていると説明します。
数週間PyPIを監視し続けた結果、ReversingLabsはVMConnectファミリーに属する3つのパッケージ(tableditor、request-plus、requestspro)を検出しました。
“使用された悪意のあるパッケージとその解読されたペイロードを分析したところ、北朝鮮の国家に支援された脅威グループであるLazarus Groupの分派であるLabyrinth Chollimaに起因する過去のキャンペーンとの関連が明らかになった。”と氏は述べます。
さらに調査を進めると、このパッケージは、日本のJPCERTが7月に発表した報告書に記載された別のパッケージとの関連が明らかになりました。
JPCERTの報告書には、Windows、macOS、およびLinux環境を標的とするマルウェアのサンプルを発見したことが記載されています。
ReversingLabsは、「このキャンペーンを特定の脅威行為者と断定することはできない」としながらも、別のサイバーセキュリティ研究者であるマウロ・エルドリッチ氏が分析会社CrowdStrikeと共有した調査結果を引用している。
「CrowdStrikeのアナリストは、このマルウェアを、北朝鮮の国家的脅威グループであるLazarus Group内のサブグループであるLabyrinth Chollimaのものであると、高い信頼性をもって断定しています。JPCERTも同様の推定を行っており、Lazarus Groupのもう1つの子会社であるDangerousPasswordの攻撃であると考えられています。」
平壌につながる足跡
この情報に基づいて、ReversingLabsは、両攻撃の背後には同じ脅威行為者が存在し、「VMConnectの悪意あるキャンペーン活動は、北朝鮮国家に支援されたLazarus Groupに関連付けることができる」と結論付けています。
「IconBurst、SentinelSneakなどの以前のソフトウェアサプライチェーンキャンペーンと同様に、VMConnectの背後にいる悪意のある攻撃者は、悪意のある機能が存在するにもかかわらず、悪意のあるペイロードを偽装し、公開されたパッケージを信頼できるように見せるための措置を講じました」と付け加えました。
このような取り組みには、typosquatting(インターネットを検索している際に、正規のドメイン名を誤ってブラウザに入力したコンピュータユーザーを餌食にするために脅威行為者が使用する手法)が含まれ、人気のあるオープンソースパッケージを使用したり、開発者を混乱させるために公式の説明やその他のメタデータを流用したりしていました。
「現在進行中のVMConnectキャンペーンに関する暴露は、ソフトウェアサプライチェーン攻撃を含む、想定されるあらゆる脅威や攻撃を網羅するために、組織がサイバー防御能力を向上させる必要があることを再認識させるものです。そのためには、サプライチェーン攻撃がビジネスに重大な損害を与える前に、その検知と防止に必要な労力とリソースの両方に投資する必要があります。」
ReversingLabsは、オープンソースやプロプライエタリなコードに含まれる「疑わしい、あるいは悪意のあるインジケータ」を検出するためのツールだけでなく、トレーニングや意識向上にも投資するよう組織に促しています。
出典
North Korean malicious package targets Windows | Cybernews
注意書き
本ブログでは、個人的な情報収集・学習を目的に元の記事を翻訳・要約して掲載していますが、記事内容の正確性について、当方は一切の責任を負いません。必ず出典元の情報をご確認の上、各自の責任にてご利用ください。
コメント