脅威情報研究者らは、「欧州の大手航空宇宙企業」を標的としたフィッシングおよびマルウェア攻撃キャンペーンを発見した。このキャンペーンは、ソニー・ピクチャーズへのハッキングを実行した北朝鮮の組織と同じ組織によって実行された。
欧州には航空宇宙関連企業が数多く存在するが、スロバキアの情報セキュリティ企業 ESET は、匿名の顧客に代わって検出したフィッシングおよびマルウェア攻撃キャンペーンをより懸念していた。
ESETが「インターセプション作戦」と名付けたこの「高度に標的を絞ったサイバー攻撃」は、2014年にソニーの米国エンターテインメント事業をハッキングした北朝鮮の悪党ラザルス・グループによって広められている、と研究者らは主張した。
情報セキュリティ担当者によると、この脅威グループによる最新の攻撃活動は、LinkedInを介して航空宇宙業界関係者を標的とするものだった。ESETの研究員ジャン=イアン・ブータン氏は、「今回のケースでは、彼らはコリンズ・エアロスペースとジェネラル・ダイナミクス(GD)になりすましていた。この2社は、標的となった欧州企業と同じ業界に属する企業だ」と説明した。ブータン氏によると、ノルウェーの攻撃グループは「営業、マーケティング、技術、一般管理」といった職務に就いている人々を標的にしていたという。
コリンズ社とGD社は、北米の航空宇宙産業における二大巨頭です。コリンズ社は航空電子機器やソフトウェアなどを製造し、GD社はF-16戦闘機からガルフストリーム社の企業向け航空機、米海軍の潜水艦、装甲車両まで、幅広い分野に手を広げています。航空宇宙業界で大きな一歩を踏み出したいと願う誠実な人々にとって、この二社はまさに魅力的な餌でした。
「(仕事の)オファーはあまりにも良すぎて、信じられないほどでした」と、ブーティン氏はThe Reg紙にラザルスの策略について説明しながら語った。「もしかしたら、(採用された人の)キャリアが大きく飛躍するかもしれない?」
犯罪者はターゲットのネットワークに侵入すると、見つけた Active Directory 管理者アカウントに対してブルートフォース攻撃を試み、さらにデータを RAR アーカイブにまとめ、Dropbox アカウントにアップロードして盗み出そうとします。
被害者がうまく誘導された後、Lazarusはパスワードで保護されたRARアーカイブ(「LNKファイルを含む」)をダウンロードするよう誘導します。クリックすると、被害者には求人情報を含むPDFがダウンロードされるように見えます。しかし、バックグラウンドでは悪意のあるEXEファイルもダウンロードされ、多数のフォルダが作成され、定期的にリモートスクリプトを実行するWindowsのスケジュールタスクが設定されていました。
Lazarus Groupの攻撃の進行を示すESETの図
攻撃者は、被害者がInternet Explorerを実行しているWindowsマシンでのみ求人情報に応答することを最も強く求めました。侵入後、彼らはPowerShellに頼りました。これは、「実行されたPowerShellコマンドのログ記録はデフォルトで無効になっている」という点を悪用したものです。ただし、Lazarusの攻撃者が接続されたドメインを調べてすべてのActive Directoryアカウントを列挙し、その後、管理者アカウントへのブルートフォース攻撃を試みたことが確認できました。
Lazarus は、Windows のセキュリティ機能によってマルウェアがブロックされるのを回避するため、2010 年 5 月に設立されたと ESET が発表した米国企業である 16:20 Software LLC に最初に発行された証明書を使用してコードに署名しました。
ブーティン氏によると、マルウェアのコンポーネントを北朝鮮に結びつける他の手がかりとして、彼のチームは「コンパイラによって追加された、実行ファイルがコンパイルされた日時を示す」ビルドタイムスタンプを目にしたという。これは東アジアの通常のオフィス時間ときれいに一致していた。それを裏付けるように、ブーティン氏の言葉を借りれば「ラザルス・グループが使用することで知られるバックドアに類似した」様々なデジタル断片を発見した「ホストフィンガープリンティング」技術も用いられた。
この詐欺が非常に巧妙だったのは、現在の雇用主を辞めようとしている潜在的な求職者をターゲットにしていたという事実であり、この事実により、被害者の中には現在の雇用主のサイバーセキュリティチームに報告する可能性が低い者もいたのではないかとブーティン氏は推測している。
Lazarus Group が最後に公の場に姿を現したのは、Apple のデスクトップ オペレーティング システムのユーザーを狙ったトロイの木馬を使って macOS を偵察していたところを捕まったときでした。®
