北朝鮮Lazarus、欧州ドローン産業にサイバースパイ攻撃
北朝鮮が支援するLazarusハッカー集団が、欧州の無人航空機(UAV)製造に関わる防衛請負業者を標的とした高度なサイバースパイ活動を開始しました。この攻撃は、北朝鮮が国内のドローン生産能力を加速させるための産業スパイ活動と直接関連していると見られています。
このキャンペーンは、Lazarus集団の得意とするソーシャルエンジニアリング作戦「Operation DreamJob」の新たな波を形成しており、名門企業での偽の求人情報を餌として利用しています。
標的と手口:偽求人から始まる侵入
標的となった組織には、金属工学企業、航空機部品メーカー、特殊防衛企業が含まれ、少なくとも2社がUAV技術開発および生産に深く関与していました。ESETは、2025年3月下旬から南東ヨーロッパおよび中央ヨーロッパの3社の防衛関連企業を狙った複数の攻撃を確認しています。
被害者は、詐欺的な求人情報と共にトロイの木馬化されたPDFリーダーを受け取り、実行するとマルウェアが配信されます。この欺瞞的な手口は、広範なセキュリティ意識向上キャンペーンが展開されているにもかかわらず、驚くほど効果的であることが証明されています。
高度なマルウェアツールセット「ScoringMathTea」の展開
攻撃者は、Lazarusが3年間にわたりペイロードとして利用してきた高度なリモートアクセス型トロイの木馬(RAT)「ScoringMathTea」を展開しました。また、「BinMergeLoader」はMicrosoft Graph APIを利用し、Microsoft APIトークンを認証に使用しています。
2022年10月に初めて観測されたScoringMathTeaは、ファイル操作、システム情報収集、TCP接続確立、ダウンロードされたペイロードの実行など、約40のコマンドをサポートします。研究者によって発見されたあるドロッパーサンプルには「DroneEXEHijackingLoader.dll」という内部名が含まれており、このキャンペーンがUAV技術の窃盗に焦点を当てていることを直接示唆しています。
巧妙な回避技術と北朝鮮の戦略的動機
マルウェアはDLLサイドローディング技術を悪用し、TightVNC Viewer、MuPDF reader、Notepad++やWinMergeのプラグインといった正当なオープンソースプロジェクトをトロイの木馬化することで検出を回避しています。ESETの研究者は、グループの戦術の顕著な進化として、新しいDLLプロキシライブラリと、トロイの木馬化のためのオープンソースプロジェクトの選択の改善を指摘しています。
マルウェアは、侵害されたWordPressサーバーをコマンド&コントロール(C2)通信に利用し、通常はテーマまたはプラグインディレクトリ内にサーバーコンポーネントを保存します。攻撃のタイミングと標的の選択は、独自のUAV設計、製造プロセス、産業ノウハウの盗難を目的としていることを強く示唆しています。
北朝鮮は、国内のドローン能力に多額の投資を行っており、最近の報告では、ピョンヤンがアフリカおよび中東市場への潜在的な輸出に向けた低コストの攻撃用UAVを開発しているとされています。北朝鮮の偵察ドローン「Saetbyol-4」はNorthrop Grumman RQ-4 Global Hawkのコピー、戦闘ドローン「Saetbyol-9」はGeneral AtomicsのMQ-9 Reaperに酷似しており、これらの設計は北朝鮮が軍事能力を進化させるためにリバースエンジニアリングと知的財産窃盗に依存していることを示しています。
Lazarus集団の特定と広範な脅威
ESETは、ソーシャルエンジニアリングの手法、DLLサイドローディングのためのGitHubオープンソースプロジェクトのトロイの木馬化、ScoringMathTeaの展開、および欧州の航空宇宙・防衛セクターの標的化という複数の指標に基づき、この攻撃をLazarus集団に高い確信度で帰属させました。Lazarus(HIDDEN COBRAとしても知られる)は、北朝鮮の諜報機関と関連する高度な持続的脅威(APT)グループであり、少なくとも2009年以来活動しています。
このグループは、2016年のSony Pictures Entertainmentハッキング、数千万ドル規模のサイバー強盗、2017年のWannaCryランサムウェアの大流行、および韓国のインフラに対する継続的な攻撃といった高額なインシデントに関与してきました。
防衛策と推奨事項
セキュリティ専門家は、防衛請負業者に対し、ソーシャルエンジニアリング戦術、特に偽の求人詐欺に関する厳格な従業員トレーニングを実施するよう推奨しています。組織は、予期せぬソースからの求人情報を精査し、実行可能ファイルを開封する前に検証するとともに、トロイの木馬化された正当なソフトウェアを特定できる高度なエンドポイント検出ソリューションを展開すべきです。
初期侵害が発生した場合のラテラルムーブメントを制限するためには、ネットワークセグメンテーションと特権アクセス管理が効果的です。
侵害の痕跡(Indicators of Compromise: IoCs)
- SHA-1: 28978E987BC59E75CA22562924EAB93355CF679E, Filename: TSMSISrv.dll, Detection: Win64/NukeSped.TL QuanPinLoader
- SHA-1: 5E5BBA521F0034D342CC26DB8BCFECE57DBD4616, Filename: libmupdf.dll, Detection: Win64/NukeSped.TE A loader disguised as a MuPDF rendering library v3.3.3.
- SHA-1: B12EEB595FEEC2CFBF9A60E1CC21A14CE8873539, Filename: radcui.dll, Detection: Win64/NukeSped.TO A dropper disguised as a RemoteApp and Desktop Connection UI Component library.
- SHA-1: 26AA2643B07C48CB6943150ADE541580279E8E0E, Filename: HideFirstLetter.DLL, Detection: Win64/NukeSped.TO BinMergeLoader.
- SHA-1: 0CB73D70FD4132A4FF5493DAA84AAE839F6329D5, Filename: libpcre.dll, Detection: Win64/NukeSped.TP A loader that is a trojanized libpcre library.
- SHA-1: 03D9B8F0FCF9173D2964CE7173D21E681DFA8DA4, Filename: webservices.dll, Detection: Win64/NukeSped.RN A dropper disguised as a Microsoft Web Services Runtime library.
- SHA-1: 71D0DDB7C6CAC4BA2BDE679941FA92A31FBEC1FF, Filename: N/A, Detection: Win64/NukeSped.RN ScoringMathTea.
- SHA-1: 87B2DF764455164C6982BA9700F27EA34D3565DF, Filename: webservices.dll, Detection: Win64/NukeSped.RW A dropper disguised as a Microsoft Web Services Runtime library.
- SHA-1: E670C4275EC24D403E0D4DE7135CBCF1D54FF09C, Filename: N/A, Detection: Win64/NukeSped.RW ScoringMathTea.
- SHA-1: B6D8D8F5E0864F5DA788F96BE085ABECF3581CCE, Filename: radcui.dll, Detection: Win64/NukeSped.TF A loader disguised as a RemoteApp and Desktop Connection UI Component library.
- SHA-1: 5B85DD485FD516AA1F4412801897A40A9BE31837, Filename: RCX1A07.tmp, Detection: Win64/NukeSped.TH A loader of an encrypted ScoringMathTea.
- SHA-1: B68C49841DC48E3672031795D85ED24F9F619782, Filename: TSMSISrv.dll, Detection: Win64/NukeSped.TL QuanPinLoader.
- SHA-1: AC16B1BAEDE349E482433533BF5FC116B3, Filename: cache.dat, Detection: Win64/NukeSped.QK A decrypted ScoringMathTea RAT.
- SHA-1: 2AA341B03FAC3054C57640122EA849BC0C2B6AF6, Filename: msadomr.dll, Detection: Win64/NukeSped.SP A loader disguised as a Microsoft DirectInput library.
- SHA-1: CB7834BE7DE07F89352080654F7FEB574B42A2B8, Filename: ComparePlus.dll, Detection: Win64/NukeSped.SJ A trojanized Notepad++ plugin disguised as a Microsoft Web Services Runtime library. A dropper from VirusTotal.
- SHA-1: 262B4ED6AC6A977135DECA5B0872B7D6D676083A, Filename: tzautosync.dat, Detection: Win64/NukeSped.RW A decrypted ScoringMathTea, stored encrypted on the disk.
- SHA-1: 086816466D9D9C12FCADA1C872B8C0FF0A5FC611, Filename: N/A, Detection: Win64/NukeSped.RN ScoringMathTea.
- SHA-1: 2A2B20FDDD65BA28E7C57AC97A158C9F15A61B05, Filename: cache.dat, Detection: Win64/NukeSped.SN A downloader similar to BinMergeLoader built as a trojanized NPPHexEditor plugin.