ScarCruft、攻撃手法を高度化
北朝鮮を背景に持つ高度な持続的脅威(APT)グループであるScarCruftは、その攻撃手法を大幅に進化させています。これまでとは異なる新しい手法として、洗練されたOLEベースのドロッパーを使用して、彼らの特徴的なマルウェアであるROKRATを配布していることが判明しました。この新たなキャンペーンでは、pCloudやYandexといった正規のクラウドサービスをコマンド&コントロール(C2)通信に悪用しており、これにより検知がさらに困難になっています。
過去の手法からの戦術的転換
歴史的に、ScarCruftは「DROKLINK」または「DROKBAT」と呼ばれる予測可能な攻撃チェーンに依存していました。この手法は通常、LNK(ショートカット)ファイルがBATスクリプトとシェルコードをドロップし、最終的にペイロードを実行するというものでした。しかし、最近の調査結果は、グループの戦術的転換を示唆しています。ScarCruftは現在、Hangul Word Processor(HWP)ドキュメント内のOLE(Object Linking and Embedding)オブジェクト内にドロッパーとローダーを直接組み込んでいます。
この移行は、ファイルベースのスクリプト実行から、メモリと正規プログラムの悪用を多用する実行方法へとScarCruftが変化していることを示しており、アンチウイルスによる検知回避を狙っていると考えられます。
3つの異なる感染事例
研究者たちは、この新しい攻撃チェーンにおける3つの具体的な変種を特定しました。これらは機能こそ異なりますが、いずれも最終的にはROKRATをシステムメモリ内で直接実行することを目的としています。
- DLLサイドローダー(mpr.dll):
最初のケースでは、マルウェアはmpr.dllというファイル名を装っています。これは悪意のあるHWPドキュメント内のOLEオブジェクトとして埋め込まれており、トリガーされるとDLLサイドローディングと呼ばれる手法を用いて、正規のアプリケーションに悪意のあるコードを実行させます。ローダーはシェルコードを実行する前に、環境の安全性をチェックします。
- クラウドダウンローダー(credui.dll):
2番目のケースは、「ダウンローダー」タイプのマルウェアです。ペイロード自体を運ぶのではなく、外部ソースからそれを取り込みます。攻撃者が制御するDropboxリンクに接続し、ステガノグラフィーで隠されたシェルコードをダウンロードします。このバリアントは、ShellRunas.exeを悪用して実行される可能性が高いです。
- メモリ実行型(version.dll):
3番目のケースは非常に回避性が高いです。正確な配布経路は不明確ですが、これもHWP OLEオブジェクトに由来する証拠があります。このバリアントは、1バイトのXORキーを使用して内部ペイロードを復元し、ROKRATをメモリ内で即座に実行するため、ディスク上にほとんど法医学的証拠を残しません。
ROKRATの再来
これらすべての攻撃のペイロードは、2017年からScarCruftが使用しているリモートアクセス型トロイの木馬(RAT)であり情報窃取型マルウェアであるROKRATのままです。ROKRATは、攻撃者がファイルを盗んだり、キーストロークを記録したり、スクリーンショットをキャプチャしたりすることを可能にするため、非常に危険です。
新しい配信方法が採用されたにもかかわらず、ScarCruftの根底にある「指紋」は依然として確認できます。3つのケースすべてで、ROR13に基づくAPIハッシュアルゴリズムと、ペイロードを復号するための特定の0x29 XORキーが使用されています。さらに、マルウェアはYandexおよびpCloudの正規APIトークンを引き続き使用し、窃取したデータトラフィックを通常のクラウドストレージ活動として偽装しています。
対策と推奨事項
これらの攻撃の主な感染経路は、HWPドキュメントの悪用です。セキュリティチームおよびユーザーは、特に未承諾のメールで受け取ったHWPファイルを取り扱う際には、最大限の注意を払う必要があります。OLEオブジェクトは任意のコード実行をトリガーする可能性があるため、組織は異常なOLEオブジェクトを検出またはブロックするためのセキュリティポリシーを設定すべきです。
ドキュメントが外部オブジェクトまたはスクリプトの実行許可を求めてきた場合は、検証されるまで悪意のあるものとして扱うことが重要です。