北朝鮮アクターがKLogEXEとFPSpyを使い、韓国と日本を標的に | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 北朝鮮アクターがKLogEXEとFPSpyを使い、韓国と日本を標的に

Threat Report

Android

APT

BOSS OS

北朝鮮アクターがKLogEXEとFPSpyを使い、韓国と日本を標的に

Yoshida

Yoshida

2024.10.04

ウィークリー・サイバーラウンド・アップ

Sparkling PiscesがKLogEXEとFPSpyを使い、韓国と日本を標的に

Unit 42 – September 26, 2024

パロアルトネットワークスUnit 42の研究者は、北朝鮮の脅威アクターSparkling Piscesが使う、これまで文書化されていなかったマルウェアの「KLogEXE」と「FPSpy」を発見した。KLogEXEはC++で書かれたキーロガーで、実行中のアプリケーションの情報を収集し、キーロギングを行うとともにマウスのクリックを監視する。一方、FPSpyはキーロギングに加えて設定やシステム情報の保存、暗号化された追加モジュールのダウンロードと実行などが可能なバックドアで、コードと動作の類似性から2022年にASECの研究者が詳述したキャンペーンで使われたマルウェアの亜種と思われる。このFPSpyは2020年に発見されたバックドア「KGHSpy」と共通する特徴を備えている上、KLogEXEとの間にもコードの類似性が認められた。確認された標的は、そのほとんどが韓国と日本の組織だった。

Patchwork APT、Nexeバックドアで中国企業を標的に

Cyble – September 26, 2024

APT(高度持続的脅威)アクターPatchworkによる進行中のキャンペーンをCybleの研究者が確認した。このキャンペーンは新種のバックドア「Nexe」を配布するもので、中国企業がターゲットになっているようだ。初期感染ベクターとして使われるのは有害なLNKファイルで、これはフィッシングメールを介して配布されている可能性が高く、このファイルがPowerShellスクリプトを実行し、PDFのルアーと有害なDLLを含むファイル2件をダウンロードする。ダウンロードされたDLLの実行にはDLLサイドローディングの手法が使われ、このDLLがAMSIscanBufferおよびETWEventWrite APIを変更し、Nexeを配布するシェルコードの復号と実行に携わる。この変更は検知メカニズムの回避を目的とし、マルウェアを密かに動作させることができる。NexeはプロセスIDやパブリック/プライベートIPアドレス、ユーザー名などシステム情報を収集する。

AndroidとiOSの偽モバイル取引アプリ、豚の屠殺詐欺で配布される

Group-IB – October 2, 2024

Group-IBの研究者は2024年5月から、AndroidとiOSの偽アプリを複数確認している。これらのアプリはUniShadowTradeマルウェアファミリーに分類されるもので、豚の屠殺詐欺に使われる取引用プラットフォームや暗号資産プラットフォームに偽装されている。攻撃では通常、出会い系アプリやソーシャルネットワークを通じたソーシャルエンジニアリングで信頼を獲得し、標的を誘い込む。これらのアプリはクロスプラットフォームフレームワークのUni-Appで開発され、当初はGoogle PlayとApp Storeで配布されていたが、これらの公式ストアから削除された後はフィッシングサイト経由で配られるようになった。アプリがインストールされると、ユーザーは「信頼されていないエンタープライズデベロッパ(Untrusted Enterprise Developer)」を信頼した上でアプリに登録し、投資関連の一連の指示に従うよう要求され、これらに従うと資金が盗まれる仕組みだ。偽アプリは英語、ポルトガル語、中国語、ヒンディー語に対応しており、アジア太平洋地域、ヨーロッパ、中東、アフリカのユーザーを標的にしている。

BulbatureとGobRATに侵害されたエッジデバイスがORB化

Sekoia – October 2, 2024

2023年半ば以降、Sekoiaの研究者がGobRATおよびBulbatureマルウェアに侵害されたエッジデバイスで構成するインフラを調査したところ、攻撃者がデプロイされたステージングサーバーからマルウェアをダウンロードするBashスクリプトを実行し、最終的に標的のデバイスをORB(Operational Relay Box=作戦中継機)化した上で、さらなる攻撃に使えるようにしていることを確認した。このインフラは計139か国の約75,000台の侵害されたホストで構成されており、米国、香港、スウェーデンが最も影響を受けている。GobRATはGo言語で記述されたリモートアクセス型トロイの木馬(RAT)で、リバースシェル操作、分散型サービス拒否(DDoS)攻撃、ファイルの読み書きなどを可能にする22種類のコマンドを提供。一方のBulbatureは標的のエッジデバイスをORBに変え、最終的な標的ネットワークへの攻撃を中継するために活用されるインプラントで、GobRATより挙動が複雑と考えられている。このインフラを使っているのは、中国に起因する複数の脅威アクターとされる。

Transparent Tribe、Mythic Poseidonバイナリ使うキャンペーンでインドを標的に

CYFIRMA – September 27, 2024

CYFIRMAの研究者は、現在インドを標的にして実施され、Transparent Tribeとの関連が指摘されているキャンペーンを観測した。また、Mythic C2インフラをホストしている15台のサーバーも発見されており、このインフラはMythic Poseidonバイナリなどのカスタマイズされたペイロードを使った進行中の攻撃に関連している。攻撃では初期アクセスベクターとして、PDFに偽装されたLinuxの不正なデスクトップエントリファイルを配布。これらのファイルを使って最終的に有害なバイナリを実行し、持続的なアクセスを確立すると共に検知を回避する。Linux環境がインドの政府部門で広く使用されていること、特にDebianベースのBOSS OSがさまざまな省庁や防衛部隊で使用されていることから、Transparent Tribeはますますこういった環境を狙うようになっていると考えられている。

ランサムウェアレポート無料配布中!

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

ここに掲載されている内容は、信頼できる情報源に基づいて作成されていますが、その正確性、完全性、網羅性、品質を保証するものではなく、Silobreakerはそのような内容について一切の責任を負いません。読者の皆様におかれましては、ここに掲載されている内容をどのように評価するかは、ご自身で判断していただく必要があります。


翻訳元サイトについて

本レポートは、OSINT特化型インテリジェンス(情報)収集・分析ツール「Silobreaker」が収集したオープンソースの情報を元に作成しています。レポート内のリンクに関しては、翻訳元の記事をご参考ください。

翻訳元 :  Weekly Cyber Round-up


Silobreakerについて

Silobreakerは、日々ウェブに更新されていく大量の情報を読み解くことを求められる意思決定者やインテリジェンス専門家を支援する、強力なOSINTツールです。

インテリジェンスツール”Silobreaker”で見える世界

以下の記事で、インテリジェンスツール「Silobreaker」について紹介しています。

インテリジェンスツール”Silobreaker”で見える世界


Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ