innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

北朝鮮Lazarus Group、偽求人で新型マルウェア「Kaolin RAT」展開

北朝鮮Lazarus Group、偽求人で新型マルウェア「Kaolin RAT」展開 - innovaTopia - (イノベトピア)

Last Updated on 2024-10-24 07:55 by admin

北朝鮮に関連する脅威アクターであるLazarus Groupが、偽の求人を餌に新たなリモートアクセストロイの木馬(RAT)であるKaolin RATを展開している。このマルウェアは、標準的なRAT機能に加え、選択したファイルの最終書き込みタイムスタンプを変更し、[コマンドアンドコントロール]サーバーから受信したDLLバイナリをロードする能力を持つ。Avastのセキュリティ研究者Luigino Camastraが先週公開したレポートで述べている。

Kaolin RATは、FudModuleルートキットの配信経路として機能し、このルートキットは最近、appid.sysドライバーの管理者からカーネルへのエクスプロイト(CVE-2024-21338、CVSSスコア:7.8)を利用してカーネルの読み書きを行い、最終的にセキュリティメカニズムを無効にすることが観察された。

Lazarus Groupが求人オファーの餌を使ってターゲットに侵入する手法は新しくない。Operation Dream Jobと名付けられた長期にわたるキャンペーンは、様々なソーシャルメディアやインスタントメッセージングプラットフォームを通じてマルウェアを配信してきた。これらの初期アクセスベクトルは、ターゲットを騙して悪意のある光学ディスクイメージ(ISO)ファイルを起動させる。このISOファイルには3つのファイルが含まれており、そのうちの1つはAmazon VNCクライアント(”AmazonVNC.exe”)と偽装されているが、実際には”choice.exe”という正規のWindowsアプリケーションの改名版である。他の2つのファイルは”version.dll”と”aws.cfg”と名付けられている。

“AmazonVNC.exe”は”version.dll”をサイドロードするために使用され、これがIExpress.exeプロセスを生成し、その中に”aws.cfg”内のペイロードを注入する。このペイロードは、コマンドアンドコントロール(C2)ドメイン(”henraux[.]com”)からシェルコードをダウンロードするように設計されており、これはイタリアの大理石と花崗岩の採掘および加工を専門とする会社に属する実際のがハッキングされたウェブサイトであると疑われている。

シェルコードの正確な性質は不明であるが、RollFlingというDLLベースのローダーを起動するために使用されるとされている。RollFlingは、次の段階のマルウェアであるRollSlingを取得し起動する。RollSlingは、直接メモリ内で実行され、セキュリティソフトウェアによる検出を回避することを目的としている可能性がある。その主な機能は、攻撃の準備を整え、C2サーバーとの連絡を確立するために設計された第三のローダーであるRollMidの実行をトリガーすることである。

この技術的な複雑さは、Kaolin RATがFudModuleルートキットの展開のための道を開く一方で、ファイルの列挙、ファイル操作の実行、C2サーバーへのファイルのアップロード、ファイルの最終変更タイムスタンプの変更、プロセスの列挙・作成・終了、cmd.exeを使用したコマンドの実行、C2サーバーからのDLLファイルのダウンロード、任意のホストへの接続などの機能を備えたマルウェアである。Lazarusグループは、偽の求人オファーを通じて個人を標的にし、セキュリティ製品を回避しながらより良い持続性を達成するために複雑なツールセットを使用している。

【ニュース解説】

北朝鮮に関連するサイバー攻撃グループであるLazarus Groupが、新たな手法を用いてサイバー攻撃を行っていることが明らかになりました。このグループは、偽の求人情報を餌にして、Kaolin RATと呼ばれる新しいリモートアクセストロイの木馬(RAT)を配布しています。このマルウェアは、ファイルの最終書き込みタイムスタンプを変更したり、コマンドアンドコントロール(C2)サーバーからDLLバイナリをロードするなど、従来のRAT機能に加えて特殊な機能を持っています。

Kaolin RATは、FudModuleルートキットへの配信経路としても機能します。このルートキットは、最近発見されたappid.sysドライバーの脆弱性を利用して、システムのセキュリティメカニズムを無効にすることができます。Lazarus Groupが偽の求人情報を使って攻撃を仕掛ける手法は、これまでにも見られたものですが、今回の攻撃ではより複雑で高度な手法が用いられています。

攻撃のプロセスは、標的に悪意のあるISOファイルを開かせることから始まります。このファイルには、偽のAmazon VNCクライアントを含む3つのファイルが含まれており、これを通じてマルウェアがシステムに侵入します。その後、複数の段階を経て、最終的にKaolin RATがシステムにインストールされます。

この攻撃キャンペーンの特徴は、その技術的な複雑さにあります。複数のローダーを使用し、ステガノグラフィーと呼ばれる技術を利用してマルウェアのコンポーネントを隠蔽するなど、セキュリティソフトウェアの検出を回避するための工夫が施されています。これにより、攻撃者は長期間にわたって標的のシステムに潜伏し、情報を収集することが可能になります。

このような高度な攻撃手法は、サイバーセキュリティの専門家にとって大きな課題をもたらします。攻撃者は常に新しい手法を開発し、既存のセキュリティ対策を回避する方法を模索しています。そのため、セキュリティ対策も進化し続ける必要があります。

この攻撃は、企業や組織だけでなく、一般のインターネットユーザーにとっても重要な警告です。偽の求人情報など、信頼できそうな情報を餌にしたフィッシング攻撃は、一見すると無害に見えるかもしれませんが、実際には重大なセキュリティリスクをもたらします。したがって、不審なメールやリンクには注意を払い、セキュリティソフトウェアを常に最新の状態に保つことが重要です。

from North Korea's Lazarus Group Deploys New Kaolin RAT via Fake Job Lures.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 北朝鮮Lazarus Group、偽求人で新型マルウェア「Kaolin RAT」展開

Latest News