独ミサイル製造業者の侵害、実行者は北朝鮮ハッカーとの報道 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 独ミサイル製造業者の侵害、実行者は北朝鮮ハッカーとの報道

Threat Report

AI

APT

APT43

独ミサイル製造業者の侵害、実行者は北朝鮮ハッカーとの報道

佐々山 Tacos

佐々山 Tacos

2024.10.01

10月1日:サイバーセキュリティ関連ニュース

独ミサイル製造業者の侵害、実行者は北朝鮮ハッカーとの報道

SecurityWeek – September 30, 2024

北朝鮮政府との繋がりが指摘されるハッキンググループKimsuky APTが、ドイツの軍需企業ディール・ディフェンス(Diehl Defence)を侵害したとの報道。このスパイ攻撃には、従業員を狙った巧妙なフィッシングの手法が用いられたという。

ドイツ誌Der Spiegelfが報じたところによると、Kimsuky APTはディール・ディフェンス社の従業員に対し、米国の防衛請負業者での仕事をオファーする内容のスピアフィッシングメールを送付。これに添付されたPDFファイルを使い、同社ネットワークへの侵入が試みられたとされる。同誌の報道はまた、Mandiantの研究者がこの侵害を調査した結果、フィッシング攻撃実施前に綿密な偵察活動が行われていたことが判明した旨にも触れている。

ディール・ディフェンス社が昨年10月に短距離空対空ミサイル「IRIS-T」の韓国への供給契約を結んでいたことや、同社の専門がミサイルや弾薬の製造であることから、今回の攻撃は重大なものだと受け止められている。

Kimsukyはインテリジェンス収集を主な目的とするグループで、 これまでの主な標的は、米国やヨーロッパ、アジアにおける政府やシンクタンク、研究センター、大学、ニュース組織など。APT43、Velvet Chollima、Emerald Sleet、TA406などの呼称でも知られている。

Rhadamanthysスティーラーの進化:最新版ではAI駆動型の暗号資産窃取機能を導入

Securityonline[.]info – September 30, 2024

情報窃取型マルウェアRhadamanthysの最新バージョン0.7.0には、最先端のAI駆動型機能が盛り込まれ、画像から自動で暗号資産ウォレットのシードフレーズを抽出できるようになっているという。このバージョンの登場により、以下にAIがデータ窃取性能強化のための武器として使われ得るかが浮き彫りになっている。

Rhadamanthysは2022年に初めて検出された情報窃取型マルウェア(インフォスティーラー)で、その後新たなバージョンをテンポよくリリースしながら進化を続けてきた。利用価格が30日間で250ドルと安価なことからサイバー犯罪者たちに好んで使われているものの、ロシアや旧ソ連関連の個人・組織への攻撃で使われたことから有名なアンダーグラウンドフォーラムでは販売が禁止されている。しかしその後も、開発者kingcrete2022はTOXやTelegramを含む複数のプライベートチャンネルで新たなバージョンを宣伝し続けているという。

Insikt Group(Recorded Future)の最新レポートでは、今年8月中旬にリリースされたRhadamanthysのバージョン0.7.0に、AI駆動型のOCR(光学的文字認識)機能が新たに加わったことが明かされている。この機能の働きは大きく2段階に分けることができ、まず第1段階では、感染したシステム上の画像ファイルをスキャンし、暗号資産ウォレットのシードフレーズが含まれていないかを分析。シードフレーズを含む画像にはフラグが付与され、次の段階でこれらの画像がRhadamanthysのC2サーバーへ抽出されると、AIアルゴリズムによって画像からシードフレーズが抜き出されるという。抜き出されたシードフレーズはその後、ウォレット内の資産を窃取するために使われる恐れがある。

パスワードや復元用フレーズなどの機微な情報が画像やスクリーンショットという形で保管されるケースが増えていることから、今回のRhadamanthysの進化は特に警戒すべきものだとInsikt Groupは指摘した。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ