セキュリティ研究者によると、北朝鮮のラザルスグループは今月初めから進行中の大規模な秘密窃盗サプライチェーン攻撃で、世界中で数百人の被害者を危険にさらした。
「ファントム・サーキット」と名付けられたこのグループの最新作戦は、正規のソフトウェアパッケージやオープンソースツールのクローンにバックドアを仕掛け、開発者や特に暗号通貨業界の関係者が誤って使用してマシンに侵入するというものだった。これらの改ざんされたプロジェクトは、Gitlabなどのプラットフォームを介して共有される。
SecurityScorecard の研究者によると、この攻撃キャンペーンは複数の波に分かれて展開されたとのことだ。同研究者らはサプライチェーン攻撃を発見し、本日発表された調査研究 [PDF] でそれを明らかにした。
11月、金正恩氏のサイバースパイは、主に欧州のテクノロジー分野の開発者181人を標的とした。翌月には、被害者はインド284人、ブラジル21人を含む1,225人に拡大した。そして1月には、インドのテクノロジー分野の110人を含む233人の被害者を追加した。
盗まれたデータには、資格情報、認証トークン、パスワード、その他のシステム情報が含まれていました。
Lazarus Groupは今回のキャンペーンで主にオープンソースプロジェクトをフォークしたと伝えられています。SecurityScorecardによって特定されたマルウェアが仕込まれたパッケージに遭遇、あるいはインストールした場合は、注意を払い、対策を講じてください。
改変されたリポジトリには、Codementor、CoinProperty、Web3 E-Store、Pythonベースのパスワードマネージャー、その他の暗号通貨関連のアプリ、認証パッケージ、Web3テクノロジーが含まれていたと、SecurityScorecardの研究および脅威インテリジェンス担当上級副社長のライアン・シェルストビトフ氏がThe Registerに語った。
業界を狙ったバックドア付きNPM JavaScriptパッケージの謎が解明
アーカイブから
「例えば、Gitlabにホストされているコードリポジトリは正規のソフトウェアのクローンであり、Node.jsに難読化されたバックドアを埋め込んでいます」と彼は述べた。「恐ろしいのは、これらの開発者がGitからこのコードを直接企業のノートパソコンにクローンすることです。既に2人の開発者がこれを直接目撃しています。基本的に、彼らはほぼあらゆるパッケージに対して同様のことが可能です。」
開発者が知らないうちに悪質なフォークをダウンロードして使い始めると、そのクローンコード内のマルウェアが実行され、侵害されたデバイスにバックドアがインストールされ、北朝鮮の人間が接続して機密データを盗み、平壌に送り返すことが可能になります。
正規のソフトウェアのコピーにマルウェアを埋め込むこの攻撃は、ラザルス・グループの手口の変化も明らかにしているとシェルストビトフ氏は付け加えた。
「このアプローチにより、検出を逃れながら広範囲な影響と長期的なアクセスが可能になる」とシャーストビトフ氏はチームの調査に関する記事で述べた。
SecurityScorecardのインシデント対応チームは、偽の求人詐欺「Operation 99」の以前の調査中に、2024年9月からアクティブだったLazarus Groupのコマンドアンドコントロール(C2)サーバーを発見しました。さらに分析を進めると、これらのサーバーが後にPhantom Circuitキャンペーンで、感染したシステムとの通信、マルウェアの配信、盗難データの持ち出しに使用されていたことが明らかになりました。
しかし、「盗み出されたデータがどのように処理されたのか、これらのサーバーを管理するためにどのようなインフラが使用されたのかといった重要な疑問は、現在まで解明されていない」と研究者らは指摘している。
- 北朝鮮の暗号窃盗団は昨年、わずか5件の強盗で6億5900万ドルを盗んだ
- 北朝鮮の悪名高いラザルスグループが盗んだ仮想通貨の小片を連邦政府が捜査
- 北朝鮮の男、米国の病院、軍、NASA、さらには中国への攻撃で起訴
- 3年ぶりにノルウェー風のサイバースパイ組織が発覚
インシデント対応チームは、各C2サーバー上に隠された管理システムがサプライチェーン攻撃を集中管理していることを特定しました。この管理プラットフォームは、窃取されたデータの管理とペイロードの配信を制御しており、ReactアプリケーションとNode.js APIで構築されていました。
Lazarus Group はまた、このキャンペーンの起源を隠すために階層的な難読化も使用したと伝えられています。
これには、トラフィックの地理的な発信元を隠すために Astrill VPN エンドポイント経由でトラフィックをルーティングし、その後にロシアのハサンにある Sky Freight Limited に登録された中間プロキシ レイヤーを追加して、悪意のあるアクティビティを正当なネットワーク トラフィックと混合することが含まれていました。
正規のトラフィックと混ざり合った後、データ窃盗キャンペーンは最終的に、Stark Industries のサーバーでホストされている Lazarus Group の C2 インフラストラクチャに到達しました。
SecurityScorecard の研究者は、C2 サーバーに接続している 6 つの北朝鮮の IP アドレスを発見しました。そのうちの 1 つは、以前の Lazarus Group による Codementor プラットフォームへの攻撃に関係していました。
デジタル犯罪者は、C2 サーバーから盗んだ商品を Dropbox にアップロードしました。
「この階層化されたインフラストラクチャは、北朝鮮の6つのIPアドレスをC2サーバーに直接結び付け、ラザルスグループが北朝鮮国内から作戦を管理する役割を果たしていたことを裏付けている」と報告書は述べている。®
