英国と大韓民国(韓国)の国家サイバーセキュリティ機関は、北朝鮮によるソフトウェアサプライチェーン攻撃の量と巧妙化が進んでいるとして共同で警告を発した。
韓国国家情報院(NIS)と英国国家サイバーセキュリティセンター(NCSC)は、世界中の政府、金融機関、防衛産業企業を標的とした深刻かつ増大する脅威に対する認識を高めるためにこの勧告を発表したと述べた。
北朝鮮の国家「優先事項」と密接に一致する目標を達成するために、ゼロデイ脆弱性とNデイ脆弱性が複数のエクスプロイトと併用されることが増えていると両氏は述べた。
これらの優先事項には、資金の調達、スパイ活動、防衛を含むさまざまな産業からの知的財産や先進技術の盗難などが含まれます。
「ますますデジタル化が進み相互接続が進む世界では、ソフトウェアサプライチェーン攻撃は、被害を受けた組織に深刻かつ広範囲にわたる影響を及ぼす可能性がある」とNCSCの運用ディレクター、ポール・チチェスター氏は述べた。
「本日、我々は大韓民国のパートナーとともに、北朝鮮とつながりのあるサイバー攻撃者がより巧妙化した攻撃を実行し、脅威が増大していることについて警告を発した。
「サプライチェーン攻撃に対する耐性を高め、侵害のリスクを軽減するために、組織には勧告に記載されている緩和策に従うことを強くお勧めします。」
この勧告は、ファイブアイズ情報同盟の同等機関からの意見を一切聞かずに、NCSCが他のサイバーセキュリティ機関と共同で発表した初の勧告であり、両国の関係が歴史上最も緊密であることを示す最新の事例となっている。
NCSCとNISは、北朝鮮の国家支援による攻撃的サイバー部隊と広く信じられているグループであるラザルスによる攻撃で悪用されたゼロデイ脆弱性と有名組織の例を列挙した。
マジックライン4NX
2023 年 3 月、Lazarus の攻撃者は、MagicLine4NX セキュリティ認証ソフトウェアの脆弱なバージョンがインストールされている特定のグループを標的としたウォーターホール攻撃を開始しました。
この攻撃はまずメディア組織を侵害し、Web ページに悪意のあるスクリプトを仕込みました。このスクリプトは、脆弱な MagicLine4NX がインストールされているユーザーがアクセスすると実行され、C2 インフラストラクチャを介して攻撃者に被害者のマシンをリモート制御する機能を提供します。
その後、侵害された PC を介してネットワーク接続システムのゼロデイ脆弱性が悪用され、被害者組織のイントラネットに侵入されました。すべてはその組織のデータを盗むことを目的としています。
「悪意のある攻撃者は、ネットワークに接続されたシステムの未公開の脆弱性とイントラネットへの侵入の正当な機能を悪用し、非常に洗練された手口を使った」と勧告には記されている。
MagicLine4NX攻撃チェーンの図(NCSCおよびNIS提供) - クリックして拡大
最終的に、セキュリティ ポリシーにより攻撃者による主要なアクティビティがブロックされ、大規模なデータ盗難インシデントは防止されました。
この攻撃自体は、以前 Lazarus が開始したウォーターホール型攻撃に基づいて構築されており、INISAFE Web クライアントを標的としていましたが、その後の MagicLine 攻撃でも使用された手法は変わっていません。
北朝鮮が望んでいたほどの成功は収められなかったものの、この事件は、高度な手法でソフトウェアのサプライチェーンを狙うという金正恩の野望を示す証拠となっている。
3CX
今年、北朝鮮から発生したサプライチェーン攻撃の中で最も広く報道されたのは、3CXのデスクトップアプリに対する攻撃である。これは、3月の暴露から数週間の間にさらに多くの証拠が集まり、時間が経つにつれて徐々にラザルスによるものとされるようになった。
このインシデントは、2つの重要インフラ組織と金融取引会社を含む、注目度の高い標的に影響を与えました。そのため、同社は修正プログラムが利用可能になるまでデスクトップソフトウェアの使用を避け、代わりにウェブアプリを使用するよう顧客に勧告しました。
巧妙さというテーマに加えて、攻撃自体が3CXアプリケーションのWindows版とmacOS版の両方に影響を与えた点も挙げられます。Lazarusは同社に侵入し、正規のチャネルを通じてユーザーがダウンロードしたインストーラーに悪意のあるコードを注入しました。
Windows と macOS における 3CX 攻撃チェーンの図 (NCSC と NIS 提供) - クリックして拡大
感染経路はWindows版とMac版で類似していました。どちらのアプリケーションも、改ざんされていない場合と同様に通常通りインストールされ、インストール後はスリープ状態(Windows版では7日間、Mac版では7~20日間)に入り、その後攻撃者にデータを送信しました。
Windowsマルウェアの方が能力は高かったものの、どちらのバージョンも甚大な影響は与えませんでした。Windowsへの攻撃ではブラウザ窃盗ツールがインストールされ、基本的なシステムデータ、3CXアカウント情報、そしてBrave、Chrome、Edge、Firefoxの閲覧履歴がLazarusに送られました。Macユーザーの場合、窃盗されたのは3CXアカウント情報のみでした。
「悪意のあるアップデートはエンドポイント検出および対応ソリューションによってすぐに検出されたため、悪影響は限定的でした」と勧告には記されている。
2FA の有効化、セキュリティ更新の適用、ネットワーク上の異常なトラフィックの監視など、さまざまな緩和策が提案されました。
マイクロソフトが介入
この警告は、マイクロソフトがサイバーリンクのマルチメディアソフトウェアに対する北朝鮮による新たなサプライチェーン攻撃に関する独自の報告書を発表した翌日に出された。
3CXへの攻撃と似た手法で、Lazarusは10月20日にもこの台湾のテクノロジー企業に侵入し、インストーラーを改ざんした。
マイクロソフトによれば、悪意のあるインストーラーは米国、カナダ、日本、台湾などさまざまな地域の100台以上のデバイスで実行されたという。
- 北朝鮮は求職者と雇用主を攻撃することで仕事探しをさらに困難にしている
- NCSCは英国の重要インフラのサイバー対応が不十分だと述べている
- 北朝鮮、「スパイ衛星」打ち上げの3回目の試みを準備
- 米韓当局が「技術者を装う北朝鮮工場を雇用しない方法」ガイドを更新
ソフトウェアは実行中に、被害者のシステムをスキャンし、CrowdStrike Falcon、FireEye、またはTanium EDRセキュリティソリューションの痕跡を探します。これらのソリューションが実行中であることが確認された場合、悪意のあるアクティビティは停止され、ソフトウェアは通常通り動作します。
被害者が 3 つのセキュリティ製品のいずれも実行していない場合、ソフトウェアは PNG ファイルの偽のヘッダー内に埋め込まれた第 2 段階のペイロードをダウンロードし、メモリ内で起動しようとします。
次に、そのペイロードは 2 つの URL にアクセスしようとします。どちらの URL も不正ですが、以前にこのグループによって侵害されたことがあります。
マイクロソフト社は、このサプライチェーン攻撃の結果としてキーボードを操作した行為は確認されていないが、NCSC や NIS が指摘したのと同じ Lazarus グループの典型的な動機を指摘し、その潜在的な最終目的を示唆していると述べた。®
