McAfeeとIntezerは、北朝鮮のマルウェアファミリー

北朝鮮のサイバー攻撃は、長年にわたり十分に文書化されてきた。 しかし、 McAfeeとIntezerのセキュリティ研究者の協力 様々な北朝鮮のマルウェアファミリーと、これまでに最も成功したサイバー攻撃のいくつかの間で、これまでに発見されていなかったリンクを示しています。

IntezerのJay RosenbergとMcAfeeのChristiaan Beekは、今週のラスベガスで開催されたBlack Hat 2018セキュリティカンファレンスで、その発見について話しています。 彼らはマルウェアとマルウェア攻撃キャンペーンの間でコードの再利用を調べることでリンクを発見したと言います。

例えば、大規模なナショナリズムに動機付けられたキャンペーンでは、再利用されたコードの4つの例が、北朝鮮に起因するマルウェアにしか見られないことが判明しました。

この研究では、北朝鮮のサイバー軍の特定のチームによって使用されると考えられる様々なツールについても詳細に説明し、北朝鮮が重大な脅威の俳優として舞台に入ったときの攻撃の進展の明確なタイムラインを提供する。

オンライングループのLazarus、Silent Chollima、Group 123、Hidden Cobra、DarkSeoul、Blockbuster、Operation Troy、そしてTen Days of Rainからの攻撃は、北朝鮮のものであると考えられている。 セキュリティ研究者は、2009年7月4日からDDoS(分散サービス拒否攻撃)とディスクワイピング攻撃が、歴史上最大のサイバー攻撃の1つであるWannaCryと関係していることを知りたがっています。

「悪い俳優は無意識のうちに指紋をその攻撃に残す傾向があり、研究者がそれらの間にドットを結ぶことを可能にする」とセキュリティ研究者は記事に記している。 「北朝鮮の俳優たちは、これらの手がかりの多くを、彼らの目覚ましやマルウェアの進化の間に残してきた。

このポストは、朝鮮民主主義人民共和国に帰属するサンプル間の類似性を示すコード分析を含む数ヶ月の研究を表している。

北朝鮮は可能な限り自立し、独立していることを望んでいる。 しかし、石油、食料、外貨などの取引では、資源が不足しており、その取得方法を探さなければならない。 そうするためには、ギャンブルや違法薬物を扱う企業に頼っている。

2005年、米国は、北朝鮮との関係を持ち、マネー・ローンダリング・サイトとして運営されているアジアの銀行を調査した。 特に1つの銀行は、平壌でカジノを始め、平壌と密接な関係を築いている億万長者の賭博巨人によって支配されている。 マカオに本拠を置くその銀行は、2015年にベトナムの銀行のSWIFT金融システムへの攻撃中に戻ってきました。マカオ銀行は、マルウェアのコードに盗まれた資金の受領者として2回掲載されました。

「再利用されたコードを特定することで、既知の脅威俳優や他のキャンペーンとの「先祖関係」について貴重な洞察を得ることができます。 「サイバー脅威を調査してきた私たちは、何度もサイバーキャンペーンを複数回実施してきました。 北朝鮮では、ハッカーのスキルによって、彼らがどのサイバー・ユニットで働くかが決まります。 我々は、DPRKキャンペーンの2つの主要な焦点を認識している:一つはお金を稼ぐこと、もう一つは民族主義的な目的を追求することである。

北朝鮮の180号機は、違法にハッキング技術を使って外貨を取得している。 第2の労働力、ユニット121は、ナショナリズム、他国からの情報収集、場合によってはライバル州と軍事目標の混乱を招く大きなキャンペーンを運営しています。

セキュリティ研究者らは、北朝鮮に関連するマルウェアサンプルのタイムラインを作成した。 キャンペーン間の類似点を理解するため、Intezerのコード類似性検出エンジンを使用して、膨大な数のこれらのマルウェアファミリー間のリンクをプロットしました。

上:暗い線は、さまざまなマルウェアファミリー間のより深いコード接続を示します。

イメージクレジット:McAfee / Intezer

上記のグラフでは、太い線はより強い類似性に相関しています。 類似点を定義する際に、研究者は一意のコード接続のみを考慮し、共通のコードまたはライブラリを無視しました。

「北朝鮮のほぼすべての攻撃の間に、コードの類似点がかなりあることは容易にわかる」と研究者らは見出した。 「私たちの研究には、ほとんどが未分類または未分類の何千ものサンプルが含まれていました。

研究者は、比較とコードブロックの識別から学んだことを適用することで、マルウェアファミリーとそれらを使用するグループとの間の新たな可能性を明らかにしました。

Lazarusのグループに属するマルウェアは、長年に渡って発見されたマルウェアファミリーの多くを結ぶコード接続を持っています。 ラザロは多くのDPRKサイバーオペレーションの総称であり、研究者は異なるキャンペーンで使用されたマルウェアファミリー間のリンクを明確に見ていました。

上:北朝鮮のマルウェア攻撃の共有されたDNA。

イメージクレジット:McAfee / Intezer

2018年に、攻撃者がPowerShellを使用してこれらのドロッパーをダウンロードして実行するキャンペーンの例が見られました。

研究者たちは、彼らの仕事が、北朝鮮のマルウェアや攻撃キャンペーンに関する現在の混乱を治安機関が整理するのに役立つことを望んでいる。 著者たちは、彼らのコレクションになかったサンプルを彼らに提供してくれたCostin Raiuに信じました。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする