North Korean Hackers Rely on Social Media to Target Security Researchers

Google の脅威アナリストは、現在脆弱性研究者とレッドチームメンバーを対象とした悪意のあるキャンペーンについて警告しています。報告によると、北朝鮮の国家支援のアクターがこの作戦の背後におり、偽のソーシャルメディアプロフィールを通じて個々のセキュリティ実務者に接触するために新しいソーシャルエンジニアリング手法を活用しています。

セキュリティ研究者に対する攻撃

Google Threat Analysis Group (TAG) からのキャンペーン概要 の推定によると 、北朝鮮の国家支援の集団が、マルウェアを使って脅威ハンティング愛好家に感染させるために専用のブログと広範な偽のソーシャルメディアアカウントのネットワークを独自に構築しました。特に、脅威アクターは脆弱性検出とエクスプロイト開発に取り組んでいる研究者を装い、信頼に忍び込み、偽の同僚とオンライン会話を始めました。

ハッカーはできるだけ多くの通信チャネルをカバーすることを決定し、Twitter、LinkedIn、Telegram、Keybase、Discord にアカウントを作成しました。一部の試みはメールを通じても行われました。

チャットに引き込まれるとすぐに、敵対者は研究者がバグの分析で協力するよう提案し、マルウェアが仕込まれた Visual Studio プロジェクトを送信しました。このプロジェクトは明らかにバックドアトロイの木馬の配信を目的としており、ハッカーにターゲットPCの制御を提供しました。さらにユーザーはブログを訪問するよう勧められました。このブログにはエクスプロイト分析に関する記事と、行われた実装証明 (PoC) エクスプロイトの動作を示す架空のビデオが含まれており、対象の専門家にその内容についてコメントするよう促しています。しかし、訪問した場合にはこのページをアクセスしたすべてのインスタンスに悪意のあるコードがドロップされました。

特筆すべきは、最新の Windows 10 バージョンを実行している完全にパッチが当てられた Chrome ブラウザのユーザーでさえ、デバイスが侵害されたことです。調査は進行中ですが、専門家は脅威アクターが Windows 10 および Chrome の 0-day セットを利用して被害者にカスタムトロイの木馬を感染させたと考えています。この悪意のあるソフトウェアは悪名高い Lazarus グループ のツールと多くの共通点を有しています。

この数か月前に開始された作戦の主な目的は明らかにされているようです。敵対者は専門家を誤解させ、以前には発見されていなかった脆弱性で悪質なツールキットを豊かにするための新たなソーシャルエンジニアリングの囮を開発しました。このような貴重なデータがあることで、APT アクターは高名なターゲットを攻撃する際に、エクスプロイトの開発にコストや時間をかけずに前例のない優位性を達成する可能性があります。

攻撃検出

この悪名高い攻撃は依然として調査中であるため、影響を受けたすべてのセキュリティアナリストに、コミュニティとその洞察と追加のデータを共有することが強く求められています。侵入に対する防御を強化するために、SOC Prime チームは緊急に検出コンテンツをリリースしたため、可能性のある悪用を疑うすべての研究者がシステムの妥協をチェックすることができます。当社の脅威検出市場 (Threat Detection Marketplace) プラットフォームから対応する Sigma ルールをダウンロードしてください：

https://tdm.socprime.com/tdm/info/HgPG9NGdS5UB/__m-P3cBTwmKwLA9By4Q/

ルールは以下のプラットフォームに対して翻訳されています：

SIEM：Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness

EDR：Carbon Black、Microsoft Defender ATP

MITRE ATT&CK：

戦術：実行、防御回避

技術：Trusted Developer Utilities (T1127)

また、この脅威に対する積極的な防御を目的とした我々の脅威バウンティ開発者からの最新貢献をご確認ください：

セキュリティ研究者を対象とした北朝鮮のキャンペーン

セキュリティ研究者を対象としたラザルスグループ（sysmon 経由）

更新 01/29/2021：Microsoft は攻撃キルチェーンに関する追加の技術的詳細を提供する レポート をリリースしました。調査中に明らかになった新たな課題に対応するため、当社の脅威ハンティングエンジニアであり、 Security Talks with SOC Primeのスピーカーであるアダム・スワンは、追加の 検出ルールを開発しました。すべての人が異常な rundll32 引数を検索し悪意あるドロッパーを検出できるように、このプレミアム SIGMA ルールを無料で公開しました。ご安全に！

予想外の引数なしの LOLBAS rundll32（cmdline 経由）

この惑わしいキャンペーンに関連する新鮮な SOC コンテンツアイテムを見逃さないためにも、今後の脅威検出市場リリースにご注目ください。関連するすべての検出はこのブログ投稿に追加されます。

に登録して 脅威検出市場 を無料で利用し、ライフサイクルの初期の段階でサイバー攻撃に耐えるために設計された最も関連性のある SOC コンテンツに注目してください。グローバルな脅威ハンティングイニシアチブへの参加に熱心ですか？ 私たちの 脅威の報酬プログラム に参加して、貢献に対して報酬を得ましょう。