2017年12月19日
SecureWorks Japan株式会社
Secureworks、北朝鮮のサイバー攻撃グループ「Lazarus」による
仮想通貨会社の財務幹部を狙った標的型攻撃を報告
2017年11月、Secureworksのリサーチチームであるカウンター・スレット・ユニット(以下、CTU)は、「NICKEL ACADEMY」と名付けて追跡調査を続けていた北朝鮮と関係のあるサイバー攻撃グループ(「Lazarus(ラザルス)」という名称でも知られている)が、ヨーロッパを拠点とする仮想通貨会社におけるCFO職に関する求人案内を悪用した標的型攻撃キャンペーンを実行していたことを確認しました。CTUはこのキャンペーンを2016年から観測しており、現在もその活動は継続されていると考えています。直近では2017年10月25日前後に標的型攻撃メールを送信していました。
また当社では、北朝鮮は少なくとも2013年よりビットコインへの関心を強めており、北朝鮮のIPアドレスを発信元とする複数のユーザーネームがビットコイン関連の調査に携わっていたことを確認しています。当時、北朝鮮の関係者らはプロキシを用いて自らのIPアドレスの隠蔽を試みましたが、プロキシ設定ミスでIPアドレスが明らかになっており、それ以前に北朝鮮によるサイバー攻撃で用いられていたIPアドレスと同じものが使用されていました。
今現在のビットコインの価格高騰を受け、北朝鮮の仮想通貨への高い関心は続いており、同国は現在も仮想通貨関連の攻撃キャンペーンを行っているとCTUは考えています。先日報じられた韓国のビッドコイン取引所を狙ったサイバー攻撃にも北朝鮮が一時的に関与しており、今後さらに仮想通貨を狙ったサイバー攻撃は高度化し、増加すると予想しています。
NICKEL ACADEMY (Lazarus) 攻撃キャンペーンの分析
標的型攻撃メールに添付されたWord文書を開くとポップアップメッセージが表示され、受信者は”Enable Editing”と”Enable Content”をクリックするように促されます(図1)。このWord文書には悪意のあるマクロが組み込まれており、受信者のクリックによりマクロが有効化されると“おとり”となる別のドキュメント(the CFO Job Lure)が作成され、受信者に表示されます(図2)。そのバックグラウンドでRemote Access Trajan(RAT)をインストールします。被害者のコンピュータにRATがインストールされると、攻撃者はマルウェアを何時でも追加でダウンロードできるようになります。
図1:標的型攻撃メールの添付ファイルをクリックすると表示されるポップアップメッセージ(出典:Secureworks)
図2:Word文書のコンテンツ(マクロ)が有効化されると作成・表示される“the CFO Job Lure”(出典:Secureworks)
このおとり文書に記載されている内容は、ヨーロッパを拠点とするビットコイン関連企業CFOに関する職務記述書で、アジアに実際に存在する仮想通貨会社がLinkedInに掲載するCFOの職務記述書と酷似しています。また同文書には実際に存在する企業が記載されていますが、この企業が攻撃の主体である証拠を当社では確認していません。
CTUは、NICKEL ACADEMY (Lazarus)が、今回の攻撃キャンペーン以前にもオンラインの求人情報サイトから職務記述書をコピー&ペーストしていたことを確認しており、過去におとり文書に記載された求人票には、コピー元に存在したタイプミスと同じタイプミスが含まれていました。また、今回の攻撃キャンペーンでは、読みやすくするために元の文章からいくつかの変更が加えられていました。
攻撃キャンペーンとNICKEL ACADEMY (Lazarus)を紐づける情報
今回の攻撃キャンペーンで使われたマクロとRATに、NICKEL ACADEMY (Lazarus) グループが以前行った攻撃で用いたものと同じ要素があることから、高い確度で同グループが背後で関与していると考えられます。またCTUは、NICKEL ACADEMY (Lazarus)が以前使用したコマンド&コントロール(C2)に使用する独自プロトコルとも共通の要素を確認しており、これらはNICKEL ACADEMY (Lazarus)のマルウェアやオペレーションと技術的なつながりを見せています。
仮想通貨会社への推奨対応策
- 仮想通貨を扱う企業は、継続的にソーシャルエンジニアリング対策訓練を実施し、最新のサイバー攻撃について学び、不明な送信元からの添付ファイルやリンクを開かないように徹底する必要があります
- 企業組織は、標的型攻撃防御および検出(AMPD)サービスを導入して、メールの添付ファイルやWebサイトに社員がアクセスする前にサンドボックスを通じてそれらが悪意あるものであるかどうかを確認する必要があります
- 外部から送られてきたWordファイルのマクロを無効化してください
- すべての主要なシステムに二要素認証を設定してください
Secureworksについて
Secureworks は、日々深刻化するサイバー上の脅威を初期の段階から把握し警戒を行うことで、企業組織へのサイバー攻撃を素早く予測、防御、検出、そして対応を行うセキュリティ・サービス専業ベンダーです。当社は、独自のカウンター・スレット・プラットフォーム (CTP) において高度なデータ分析および洞察エンジン、そしてカウンター・スレット・ユニット (CTU) のリサーチ結果を統合し導き出した実用的なインテリジェンスを用い、サイバー上の脅威をリアルタイムに可視化し、その対抗策をすべてのサービスに反映させます。日本を含む世界5カ所のセキュリティ・オペレーション・センター(SOC)を通じてSecureworksは、お客様のリスクを最小限に抑えるセキュリティ・ソリューションを提供します。
2017年9月25日現在、Secureworksは61ヶ国の4,400社のお客様企業にサービスを提供しています。
www.secureworks.jp/
■ Secureworksロゴは、米国 SecureWorks Corp の商標または登録商標です。
■ その他の社名および製品名は、各社の商標または登録商標です。
■ 記載内容は、2017年12月19日時点のものです。
