概要:欧州防衛企業へのサイバー攻撃
北朝鮮のハッカー集団Lazarusが、「Operation DreamJob」と呼ばれる巧妙なキャンペーンを通じて、欧州の防衛企業3社を標的にしたことが明らかになりました。この攻撃は3月下旬に検出され、特に無人航空機(UAV)技術の開発に関わる組織が狙われました。
「Operation DreamJob」キャンペーンの手口
「Operation DreamJob」は、Lazarusが長年にわたり使用している手口です。ハッカーは、大手企業のリクルーターを装い、標的企業の従業員に高待遇の求人情報を提供します。これにより、標的は悪意のあるファイルをダウンロードするよう仕向けられ、ハッカーは標的企業のシステムへのアクセス権を獲得します。
この手口は過去にも、暗号通貨・DeFi企業、ソフトウェア開発者、ジャーナリスト、セキュリティ研究者、そして航空宇宙産業を含む防衛分野の組織に対して使用されてきました。
ドローン部品メーカーへの標的
サイバーセキュリティ企業ESETの調査によると、今回の「Operation DreamJob」では、LazarusはUAV関連技術に焦点を当てていました。これは、現在の地政学的状況と、北朝鮮が西側の設計に「触発された」ドローン兵器の構築を強化している動きと一致しています。
ESETは、3月下旬に以下の企業が標的になったことを確認しました:
- 東南ヨーロッパの金属工学企業
- 中央ヨーロッパの航空機部品メーカー
- 中央ヨーロッパの防衛企業
これらの企業は、ウクライナに配備されている軍事装備を製造しており、そのうち2社はUAV技術の開発に明確に関与し、一方は重要なドローン部品を製造し、もう一方はUAV関連ソフトウェアの設計に携わっていると報じられています。
感染チェーンの分析
感染チェーンの分析により、攻撃は被害者がトロイの木馬化されたオープンソースアプリケーションまたはプラグイン(MuPDFビューア、Notepad++、WinMergeプラグイン、TightVNC Viewer、libpcre、DirectXラッパーなど)を起動することから始まることが判明しました。
悪意のあるDLLまたはマルウェアドロッパーのロードは、DLLサイドローディングという回避技術を通じて行われました。これは、正当だが脆弱なソフトウェアを利用して悪意のあるペイロードをロードする手法です。
次の段階では、ペイロードが復号化され、MemoryModuleスタイルのルーチンを使用して直接メモリにロードされます。最終的なマルウェアはScoringMathTea RAT(リモートアクセス型トロイの木馬)であり、コマンド&コントロール(C2)インフラストラクチャと通信を確立し、指示を待ちます。
別の感染チェーンでは、ScoringMathTea RATの代わりにBinMergeLoader(MISTPEN)というマルウェアローダーが使用され、Microsoft Graph APIとトークンを悪用して追加のペイロードを取得していました。
2023年に初めて文書化されたScoringMathTea RATの最新バージョンは、40のコマンドをサポートしており、コマンド実行から新しいマルウェアのドロップまで、攻撃者に幅広い運用上の汎用性を提供します。
Lazarusの継続的な脅威
ESETは、Operation DreamJobの戦術とソーシャルエンジニアリングの手口が繰り返し露呈しているにもかかわらず、北朝鮮の脅威アクターにとって依然として効果的な手口であり続けているとコメントしています。
ESETは、今回のDreamJobキャンペーンでLazarusハッカーが使用したドメインと悪意のあるツールに関するIoCs(Indicators of Compromise)の広範なセットを提供しています。