Astrill VPN：北朝鮮の脅威アクターが頻繁に使用するVPNサービスの新たなIPをSilent Pushが公開

要点

• 2025年2月24日現在、北朝鮮のLazarus Groupを構成する複数の脅威アクターたちは、攻撃中にIPアドレスを突き止められないようAstrill VPNを使い続けています。
• 北朝鮮の脅威グループ「Contagious Interview」（別名Famous Chollima）から最近取得したインフラとログにより、インフラのテストプロセス中にAstrill VPNが継続的に使われていることが確認されました。
• Silent Pushのアナリストは最近、Google傘下のMandiantが2024年9月に公開した詳細を確認し、北朝鮮の偽ITワーカーがもたらす脅威においても、応募先の企業にIPアドレスを特定されないようAstrill VPNが使われ続けていることを認識しました。
• Silent Pushのアナリストは、当社チームがマッピングしたAstrill VPNのIPアドレスを網羅した「バルクデータフィード」を用意しています。その内容はリアルタイムで更新されており、お客さまがSilent Pushのサービスをご利用される際、北朝鮮からの脅威に限らず、あらゆる脅威から身を守るためにご活用いただけます。

本記事は、マキナレコードが提携するSilent Push社のブログ記事『Astrill VPN: Silent Push Publicly Releases New IPs on VPN Service Heavily Used by North Korean Threat Actors』（2025年2月28日付）を翻訳したものです。

こちらのページから、Silent Pushが公開しているその他のブログ記事もご覧いただけます。

Silent Pushについて

Silent Pushは、先駆的なサイバーセキュリティインテリジェンス企業です。リアルタイムで新たに出現する脅威インフラを完全に把握し、独自の将来攻撃指標（IOFA）データを通じて、攻撃を効果的に阻止します。Silent Pushは、スタンドアロンのプラットフォームとして提供されるだけでなく、APIを通じてSIEM、XDR、SOAR、TIP、OSINTを含むさまざまなセキュリティツールと統合し、自動化された実行可能なインテリジェンスを提供します。顧客には世界最大規模の企業や政府機関が含まれています。

関連記事：マキナレコード、Silent Pushと提携し、攻撃を未然に防ぎ被害を防ぐ先制サイバー防御ソリューションを提供

バックグラウンド

Silent Pushのアナリストは、長年にわたって北朝鮮のハッキンググループを追跡してきました。当社はプライベートフィードやレポートをクライアントと共有しているほか、進行中の追跡活動に支障をきたさない限り、その詳細を公表するよう最善を尽くしています。

当社による最新の調査では、Lazarus GroupのサブグループであるContagious Interview（別名Famous Chollima）に焦点を当てた上、攻撃者と被害者のログに関する詳細を含め、同グループのインフラの一部をどのようにして入手したかについて説明しました。

これらのログには、当社が一定期間にわたって追跡してきた「Astrill VPN」（astrill[.]com）という仮想プライベートネットワーク（VPN）への言及が多く含まれていました。

それから程なくして複数の研究共有パートナーから報告があり、Contagious InterviewがAstrill VPNを使用していること、北朝鮮の偽ITワーカーがこのプロバイダーを継続的に使っていることを確認しました。

Lazarus Group（あるいはいくつかのサブグループ）に所属する脅威アクターがAstrill VPNを優先的に使い、攻撃中に自らの位置情報を隠蔽していることは、その数か月前から公になっていました。

2024年9月23日、Google傘下のMandiantは北朝鮮の偽ITワーカーがもたらす脅威について詳細を発表し、「これらのリモート管理ソリューションへの接続は、主にAstrill VPNに関連付けられたIPアドレスから発信されている。発信源は中国または北朝鮮の可能性が高い」と指摘しました。

そして2025年2月、Recorded FutureのInsikt Groupから北朝鮮のITワーカー詐欺に関する追加情報が発表され、そこには次のように記されていました。「Insikt Groupは主に暗号資産業界のソフトウェア開発者を狙った『Contagious Interview』キャンペーンと重複する北朝鮮関連クラスター『PurpleBravo』（旧Threat Activity Group 120 [TAG-120]）を追跡し…（中略）…PurpleBravoがコマンド＆コントロール（C2）サーバーの管理にAstrill VPNを使っている証拠を突き止めた」

Silent Pushコミュニティ版の無料アカウントにサインアップ

本ブログでご紹介するすべてのツールとクエリを使用するには、今すぐコミュニティ版の無料アカウントにサインアップしてください。

サインアップはこちらから

テストログにより、Lazarus Groupのサブグループ「Contagious Interview」が引き続きAstrill VPNのIPアドレスを使っていることが裏付けられる

Silent Pushの脅威アナリストは、暗号資産取引所ByBitから14億ドル相当が盗まれた事件の数時間前にドメイン「bybit-assessment[.]com」が登録されていたことを発見しました。そしてこのドメインのWHOIS記録により、メールアドレス「trevorgreer9312@gmail[.]com」がドメイン登録に使われたこともわかっています。このメールアドレスは、TayvanoのGitHubリポジトリ「BlueNoroff Research」内にも登場していました。なお、BlueNoroffとはLazarus Groupの別のサブグループの公の呼び名です。

Tayvanoの「BlueNoroff Research」フォルダの詳細には、攻撃に使われたと思われるAstrill VPNのIPアドレス2件、「104.223.97[.]2と 91.239.130[.]102」も含まれています。

Lazarus Groupに関する以前の調査で発覚した情報とも整合性が取れるこの新しいドメインを発見した後、当社チームは追加の調査（公開投稿で説明済み）を実施できるようになり、管理者ログと被害者ログを含むインフラの一部を取得することができました。

当社チームはこれらのログを調べ、セットアップの構成時に作成されたテストレコードに関連する一意のIPアドレス27件を発見・共有し、Astrill VPNが脅威アクターたちに強く支持されていることを改めて確認しました。

Astrill VPN IPのバルクデータフィード

本ブログにおいて、Silent Pushは当社のバルクデータフィードから抽出したアクティブなIPアドレスのサンプルリストを共有しています。これらのIPはAstrill VPNで使われているものであり、北朝鮮のAPTグループが使うVPNツールを追跡するためにセキュリティコミュニティで継続している取り組みのサポートを目的としています。エンタープライズ版ユーザーがアクセス可能なフィードにはこの数倍の情報がカバーされており、調査が進むにつれて新しい情報がリアルタイムで追加されていきます。

IPアドレスのサンプルリストは以下の通りです。

• 103.130.145.210
• 104.129.22.2
• 113.20.30.139
• 134.195.197.175
• 167.88.61.250
• 169.38.132.135
• 169.57.129.31
• 172.93.100.166
• 172.96.141.172
• 185.108.128.54

Astrill VPNの追跡を継続

当社チームはAstrill VPNの追跡を続けており、北朝鮮やその他の脅威アクターがAstrill VPNをリソースとして利用している新たな動向がわかり次第、セキュリティコミュニティに調査結果を報告いたします。

発見した脅威に関する調査結果は、引き続き法執行機関とも共有していきます。犯罪活動に関与する脅威アクターについて何らかの手がかりをお持ちであれば、ぜひ当社までご連絡ください。

緩和策

Astrill VPNに関連するすべてのドメインが有害なものではないとしても、VPNを使用する北朝鮮の脅威アクター、とりわけLazarus Groupに関連するすべてのドメインは、ある程度のリスクがあるとSilent Pushは考えています。

当社アナリストは、この技法を使った詐欺や北朝鮮のAPTグループに焦点を当てたIOFA（未来攻撃指標）のリストを含む、一連のSilent Push IOFAフィードを構築しました。これらはすべて、エンタープライズ版ユーザーの皆さまが利用可能となっています。

Silent Push IOFAフィードは、エンタープライズ版サブスクリプションの一部としてご利用いただけます。エンタープライズ版ユーザーの皆さまは、IOFAフィードのデータをご自身のセキュリティスタックへ取り込み、それぞれの検知プロトコルにこの情報を盛り込むことが可能です。あるいはこのデータは、Silent Push ConsoleおよびFeed Analyticsスクリーンを使って攻撃者インフラ全体をさらに調べる目的でもご利用いただけます。

コミュニティ版への登録を

Silent Pushのコミュニティ版は無料の脅威ハンティング・サイバー防衛プラットフォームで、最新のオフェンシブ/ディフェンシブ検索やWebコンテンツクエリ、エンリッチメント済みデータタイプを備えています。

無料アカウントへのサインアップはこちらからどうぞ。