サイバーニュース.jp

世界のサイバーなニュースを配信

北朝鮮の脅威アクター、LazarusとKimsukyの新たなインフラが活動ツールとトンネリングノードと共に発見される

カテゴリ:

概要:LazarusとKimsukyの連携した活動インフラが明らかに

Hunt.ioとAcronis Threat Research Unitの研究者たちが、北朝鮮が支援する脅威アクターであるLazarusグループとKimsukyグループによって管理される洗練された運用インフラネットワークを明らかにしました。この共同調査により、これまで公には分析されていなかった両グループのキャンペーン間のつながりが判明し、活動中のコマンド&コントロール(C2)サーバー、資格情報窃取環境、トンネリングノード、および証明書に関連するインフラが露呈しました。これは、DPRK(朝鮮民主主義人民共和国)のオペレーターが、マルウェアや攻撃の手口を進化させながらも、予測可能なインフラパターンを通じてどのように持続的なアクセスを維持しているかを示しています。

DPRKの運用手法の一貫性

今回の調査で最も重要な発見の一つは、DPRKの運用手法の一貫性にあります。研究者たちは、異なるキャンペーン間で安定して見られる繰り返しの兆候を特定しました。

  • 公開されたディレクトリに準備された資格情報収集ツールキット
  • 複数のサーバーで同一に設定されたFast Reverse Proxy (FRP) トンネリングノード
  • リモートデスクトッププロトコル (RDP) の露出を伴うホスト群間で再利用される証明書

これらのパターンは、脅威アクターの活動を追跡する上で信頼できる指標となります。

Lazarusグループの活動:BADCALLバックドアの進化

最初の重要な発見は、サーバー23.27.140[.]49でホストされていたLinux版のBADCALLバックドアを通じたLazarusの活動の追跡でした。このバックドアの亜種には、/tmp/ディレクトリにタイムスタンプ付きのエントリを記録するロギングメカニズムという重要な運用上の更新が含まれていました。この機能により、オペレーターは侵入中にマルウェアの実行を監視し、適切な機能を確認できるようになり、運用効率向上のためのツールキットの意図的な強化が示唆されています。

活動中の資格情報窃取インフラ

調査では、2つの主要な資格情報窃取環境がまだ活動中であることが判明しました。

  • サーバー207.254.22[.]248:8800は、MailPassView、WebBrowserPassView、ChromePass、およびrcloneバイナリを含む112 MBのツールキットをホストしていました。Hunt.ioのインテリジェンスは、このインフラが2025年8月時点でMythicコマンド&コントロールサーバーをポート7443で実行していたことを確認しています。
  • 2つ目の重要なノードである149.28.139[.]62:8080は、完全に機能するQuasar RATインフラ、資格情報収集ツール、ファイル転送ユーティリティを含む、201ファイルにわたる270 MB以上の運用データを公開していました。
  • 最も懸念されるのは、サーバー154.216.177[.]215の発見です。これは、10,731ファイルと1,222サブディレクトリにわたる約2 GBの運用データを公開しており、洗練された偵察ツール、開発成果物、Nucleiテンプレートライブラリ、および個人的な成果物が含まれていました。これは、脅威アクターの活動拠点として機能していたことを示唆しています。

トンネリングと証明書ベースのインフラ

研究では、中国およびAPAC地域のVPSプロバイダー全体に展開された8つの同一のFRPトンネルノードが特定されました。これらはすべてポート9999で同じ10 MBのバイナリを提供しており、スクリプト化された自動プロビジョニング、Lazarusの運用の特徴である、従来のC2チャネルがブロックされても持続的なアクセスを維持する設計が示唆されています。

証明書を介した調査では、2025年1月以降RDP露出を伴う共通名「hwc-hwp-7779700」を共有する12個のIPアドレスが発見されました。マルウェアデータベースのクエリにより、これらのIPの10個がLazarusグループのマルウェアに直接関連しており、残りのノードはBluenoroffの運用と関連していることが確認され、DPRKのサブグループのワークフローが交差する点が明らかになりました。

防御者への実践的な脅威インテリジェンス

この研究は、プロアクティブな脅威ハンティングのための実践的なインテリジェンスを防御者に提供します。繰り返し現れるオープンディレクトリパターンを監視し、特定のポートとプロバイダーを介したFRPの展開を追跡し、証明書の再利用を軸に調査することで、活動的なキャンペーンが開始される前に新たなDPRKインフラを発見することが可能です。これらの安定した行動パターンは、常に進化するマルウェアファミリーよりも信頼性の高い検出シグナルを提供します。

元記事: https://gbhackers.com/tunneling-nodes/

投稿をさらに読み込む