AppleJeusマルウェア検出：北朝鮮関連のLazarus APTが暗号通貨アプリを装って悪質なマルウェアを拡散

悪名高い北朝鮮支援のAPTグループ、 ラザルスは、攻撃の範囲を広げ続けており、不正な暗号通貨アプリを活用してAppleJeusマルウェアを配布しています。この最新の敵対キャンペーンでは、ラザルスハッカーはBloxHolderと呼ばれる偽の暗号通貨アプリを使用してAppleJeusマルウェアを落とし、ネットワークへの最初のアクセスを得て、暗号資産を盗みます。

過去4年間、ラザルスAPTグループは、財政的利益を目的として特に暗号通貨とブロックチェーン関連のビジネスを攻撃することに関心を寄せてきました。例えば、2022年4月には、 ラザルスによるTradeTraitorキャンペーン が注目され、取引、交換、投資を目的とした企業や、NFTや暗号通貨を使用したプレイ・トゥ・アーンゲームビジネス、または暗号通貨ウォレットやNFTの個別保有者を標的にしました。

AppleJeusマルウェアの検出 

ラザルスグループは北朝鮮国家に支援された悪名高いハッキング組織です。このAPTグループは少なくとも2009年から注目されており、サイバー戦争、サイバースパイ活動、ランサムウェア攻撃など、多くの高プロファイルキャンペーンの背後にいると疑われています。最新のラザルスキャンペーンによる強化されたAppleJeusマルウェアバージョンの配布に積極的に防御するために、SOC PrimeのDetection as Codeプラットフォームから専用Sigmaルールのバッチをダウンロードすることを選択してください: 

ラザルスAPTグループによるAppleJeusマルウェアを検出するためのSigmaルール

上記のすべての検出コンテンツは MITRE ATT&CK®フレームワークにマッピングされており 25以上の業界リーディングのSIEM、EDR、BDP、およびXDRアラートおよびクエリ形式への翻訳をサポートします。検出アルゴリズムは、SOC Primeチームと経験豊富なThreat Bounty開発者によって提供され、使用する脅威プロファイルおよび技術キットに対応するさまざまなルールを確保します。

私たちの Threat Bountyプログラムに参加 して、サイバー防衛者が自分自身のSigmaルールを作成し、それを世界最大の脅威検出マーケットプレイスに公開し、貢献に対して報酬を得ることができます。SOC PrimeのThreat Bountyのおかげで、あなたはCVを書くように表現でき、Sigma & ATT&CKの知識を得ると同時に、Threat HuntingおよびDetection Engineeringのスキルを磨くことができます。

現在、SOC PrimeプラットフォームはラザルスAPT集団に関連するツール及び攻撃手法を検出するさまざまなSigmaルールを集計しています。「 Explore Detections 」ボタンを押して、対応するATT&CK参照、脅威インテリジェンスリンク、その他の関連メタデータと共に検出アルゴリズムを確認してください。

Explore Detections

AppleJeusマルウェアの説明：ラザルスAPTによる最新活動の攻撃分析

国家支援の北朝鮮ラザルスAPTグループ（別名 HIDDEN COBRA ）は、ネットワークと暗号通貨ユーザーを標的にした新しいサイバー攻撃の波の背後におり、「BloxHolder」という偽の暗号アプリの名の下にAppleJeusマルウェアを配布して侵害されたシステムに広げています。

ハッキング集団は2018年以来、AppleJeusを配布し、標的ユーザーから暗号通貨を盗んでいます。2021年2月、CISA、FBI、および財務省（Treasury）は 共同アドバイザリ を発表し、AppleJeusマルウェアの詳細と緩和策の推奨を提供しました。このマルウェアを提供するのに責任を持つラザルスAPTグループは、世界中の暗号通貨取引所や金融機関など、複数の産業分野の個人や組織を標的にし、暗号資産を盗もうとしています。このアドバイザリによれば、北朝鮮の国家支援によるハッキング集団は、2018年以来7つの異なるAppleJeusバリアントを利用し続け、それらを強化された能力で絶えずアップグレードおよび充実させています。

Volexityサイバーセキュリティ研究者 は、2022年6月にラザルス脅威アクターの新しい活動を最初に観察し、武器化されたMicrosoft Officeドキュメントファイルを使って標的の暗号通貨ユーザーの注意を引き、AppleJeusをインストールしました。ハッカーは暗号通貨取引プラットフォームのために新しいドメイン名、bloxholder[.]comを登録しました。調査では、その後者が別の正当なウェブサイトの単なるクローンであったことが示されました。サイバーセキュリティ研究者は、この偽のBloxHolderウェブサイトを発見し、AppleJeusの悪意ある株をMSIファイル内で観察した後、関連する悪意あるキャンペーンに名前をつけました。これにより、暗号通貨ユーザーは暗号アプリのダウンロードを誘導され、感染連鎖を引き起こすことができました。そして、誘導ファイルが正当なアプリをインストールするとすぐに、スケジュールされたタスクを作成し、システムフォルダーに悪意あるファイルをドロップします。それにより、AppleJeusマルウェアの新しいバリアントが展開されます。

2022年10月、ハッキング集団はAppleJeusを配信するために、MSIインストーラーの代わりにMicrosoft Officeドキュメントを活用することで悪意のあるキャンペーンを進化させました。最新のサイバー攻撃では、ラザルスハッカーはマルウェアをロードするための連鎖DLLサイドロード技術を適用して攻撃能力を強化し、検出を回避できるようになりました。さらに、最も最近のキャンペーンでAppleJeusマルウェアを広げるに際し、カスタム暗号化アルゴリズムを活用してすべての文字列とAPI呼び出しが難読化されており、感染をタイムリーに特定するためにサイバー防衛者にとって別の課題が生じています。

悪名高い国家支援ラザルスAPTグループによる増大するサイバー攻撃の数量とその増加する巧妙さは、サイバー防衛者に超応答性を必要としています。次のサイトを参照してください： socprime.com で、暗号通貨ユーザーに影響を与えるマルウェアを含む現在および新たな脅威に対するSigmaルールを検索し、包括的なサイバー脅威コンテキストとともに検出エンジニアリングと脅威狩りのための9,000以上のアイデアに届きます。また、私たちの Cyber Mondayディール の一環として、12月31日まで有効で、選択したパッケージで利用可能な検出スタックに加えて、200個のプレミアムSigmaルールを選択することができます。