innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

韓国ERPベンダー攻撃、北朝鮮関連グループの手口に類似か:サイバー侵害の深刻な警鐘

韓国ERPベンダー攻撃、北朝鮮関連グループの手口に類似か:サイバー侵害の深刻な警鐘 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-03 13:39 by admin

2024年5月、韓国のERP(Enterprise Resource Planning)ベンダーの製品アップデートサーバーが、Go言語ベースのバックドア「Xctdoor」を拡散するために侵害されたことが判明した。この攻撃はAhnLab Security Intelligence Center(ASEC)によって特定され、既知の脅威アクターやグループには帰属されていないが、北朝鮮の敵対者であるラザルスグループ内のサブクラスターであるAndarielの戦術との類似点が指摘されている。Xctdoorはシステム情報の窃取、キーストローク、スクリーンショット、クリップボード内容の盗み出し、および脅威アクターによって発行されたコマンドの実行が可能である。このマルウェアはHTTPプロトコルを使用してコマンドアンドコントロールサーバーと通信し、パケット暗号化にはメルセンヌ・ツイスター(MT19937)アルゴリズムとBase64アルゴリズムが使用されている。

また、Xctdoorを正当なプロセス(例:「explorer.exe」)に注入するためのインジェクターマルウェア「XcLoader」も攻撃に使用されている。ASECは、少なくとも2024年3月以降、セキュリティが不十分なWebサーバーがXcLoaderをインストールするために侵害されているケースをさらに検出している。

さらに、北朝鮮にリンクされた別の脅威アクターであるKimuskyが、2021年7月以降使用されている未文書のバックドア「HappyDoor」を使用していることが観察されている。HappyDoorは、情報盗難、ファイルのダウンロード/アップロード、自身の更新および終了を容易にするためにHTTP経由でリモートサーバーと通信するDLLファイルである。

【ニュース解説】

2024年5月、韓国のERP(Enterprise Resource Planning)ベンダーの製品アップデートサーバーが、Go言語ベースのバックドア「Xctdoor」を拡散するために侵害されたことが発覚しました。この攻撃は、AhnLab Security Intelligence Center(ASEC)によって特定され、北朝鮮の敵対者であるラザルスグループ内のサブクラスターであるAndarielの戦術との類似点が指摘されています。Xctdoorは、システム情報の窃取、キーストローク、スクリーンショット、クリップボード内容の盗み出し、および脅威アクターによって発行されたコマンドの実行が可能です。このマルウェアはHTTPプロトコルを使用してコマンドアンドコントロールサーバーと通信し、パケット暗号化にはメルセンヌ・ツイスター(MT19937)アルゴリズムとBase64アルゴリズムが使用されています。

また、Xctdoorを正当なプロセス(例:「explorer.exe」)に注入するためのインジェクターマルウェア「XcLoader」も攻撃に使用されています。ASECは、少なくとも2024年3月以降、セキュリティが不十分なWebサーバーがXcLoaderをインストールするために侵害されているケースをさらに検出しています。

この攻撃の背景には、北朝鮮にリンクされた脅威アクターの活動があり、特にKimuskyが使用している未文書のバックドア「HappyDoor」が注目されています。HappyDoorは、情報盗難、ファイルのダウンロード/アップロード、自身の更新および終了を容易にするためにHTTP経由でリモートサーバーと通信するDLLファイルです。

この事件は、サイバーセキュリティの観点から見ると、ERPシステムの脆弱性を利用した攻撃がいかに深刻な影響を及ぼす可能性があるかを示しています。ERPシステムは企業の中核的な業務を支えるシステムであり、そのセキュリティが侵害されることは、企業の運営に直接的な影響を及ぼすだけでなく、顧客データや財務情報などの機密情報が漏洩するリスクを高めます。

このような攻撃から身を守るためには、企業は定期的なセキュリティチェックとアップデートの実施、従業員へのセキュリティ教育の徹底、そして異常なネットワーク活動の監視を強化する必要があります。また、サイバーセキュリティの専門家との連携を深め、最新の脅威情報を共有し、迅速な対応策を講じることも重要です。

長期的な視点では、この事件は国家間のサイバー戦争の一環として見ることもでき、サイバーセキュリティは単に技術的な問題ではなく、国際政治の問題としても捉えられるようになっています。そのため、国際的な協力と情報共有の強化が、今後のサイバーセキュリティ対策の鍵を握ると言えるでしょう。

from South Korean ERP Vendor's Server Hacked to Spread Xctdoor Malware.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 韓国ERPベンダー攻撃、北朝鮮関連グループの手口に類似か:サイバー侵害の深刻な警鐘

Latest News