イントロダクション
2025年3月、北朝鮮に関連するAPT37としても知られるRicochet Chollima APTグループが、北朝鮮問題に関心を持つ活動家を標的としたスピアフィッシングキャンペーンを展開しました。
攻撃者は、韓国を拠点とする北朝鮮関連のセキュリティ専門家を装ったスピアフィッシングメールを通じて攻撃を開始しました。メールは、ロシアに派遣された北朝鮮軍や韓国のシンクタンクが主催する国家安全保障会議といった正当な話題に言及し、信頼性を確立しようとしました。
Genians Security Center (GSC) が「Operation: ToyBox Story」と名付けたこの攻撃は、LNKファイルの悪用とファイルレスマルウェアの実行を組み合わせた高度な手法を明らかにし、従来のセキュリティソリューションの回避を目的としていました。悪意のあるメールには、被害者を圧縮されたZIPアーカイブにリダイレクトするDropboxリンクが含まれており、その中には悪用されたLNKショートカットファイルが含まれていました。
多段階配信メカニズム
攻撃は、綿密に調整された配信手法を採用していました。最初に文書化されたケースは2025年3月8日に発生し、「To North Korean Soldiers Deployed to the Russian Battlefield.hwp」というタイトルのメールでした。
添付ファイルは、Naver Mailに関連付けられたHWPアイコンを利用することで、正当なハングル(HWP)文書を模倣し、被害者の操作を引き起こす可能性を高めましたが、埋め込まれたリンクは、主張された文書を配信する代わりにDropboxにリダイレクトされました。
抽出後、被害者は、アーカイブと同じ名前を持つが悪意のあるLNKファイルが、ファイル拡張子のみが異なるZIPアーカイブを発見しました。2025年3月11日には、セカンダリキャンペーンのバリアントが、「Related Poster.zip」アーカイブを使用し、欺瞞的な外観を維持するために、無害なJPG画像と悪意のあるLNKショートカットファイルの両方を含んでいました。
LNKファイルは攻撃の重要なコンポーネントとして機能し、アクティベーション時に自動的に実行されるように設計された隠されたPowerShellコマンドを埋め込んでいました。トリガーされると、ショートカットは多段階のペイロード配信プロセスを起動します。埋め込まれたコマンドは、%Temp%ディレクトリに3つの一時ファイルを作成し、デコイのHWP文書をユーザーに表示しながらBATバッチファイルを実行します。
実行シーケンスには、「toy02.dat」をローダーとしてロードし、その後一時フォルダから「toy01.dat」をロードすることが含まれます。これらのファイルにはXOR変換されたデータが含まれており、デコードされると実行可能なシェルコードとしてメモリに注入されます。このファイルレス技術により、悪意のあるバイナリをディスクに書き込むことなく、ランタイムマルウェアの注入と動的コード実行が可能になり、シグネチャベースのエンドポイント検出システムを効果的に回避します。
RoKRATペイロードとC2通信
最終的なペイロードは、RoKRATリモートアクセス型トロイの木馬を展開し、Windows OSビルドバージョン、コンピューター名、ユーザー資格情報、BIOSバージョン、システムメーカーを含む広範なシステム情報を収集します。RoKRATは、リアルタイムのスクリーンショットをキャプチャし、AES-CBC-128暗号化を使用して暗号化されたチャネルを通じてデータを外部に流出させ、AESキーはRSA暗号化によってさらに保護されます。
特に注目すべきは、このマルウェアがDropboxをコマンド&コントロール(C2)サーバーとして悪用し、クラウドAPIサービスを使用して正当なDropbox通信の中に悪意のあるトラフィックを隠している点です。この「Living off Trusted Sites (LoTS)」技術は、ネットワークトラフィックを分析するセキュリティチームによる検出を複雑にします。
組織は、メール添付ファイルからのLNKファイルの実行を禁止し、行動異常検出を通じてファイルレス攻撃を監視できるエンドポイント検出および応答(EDR)ソリューションを実装する必要があります。このキャンペーンは、APT37が正当なクラウドサービスを悪用して永続的なアクセスを維持し、従来のセキュリティ制御を回避する高度な手口を引き続き用いていることを示しています。