Last Updated on 2024-10-03 08:10 by admin

北朝鮮の国家支援ハッカーグループ「Stonefly」(別名APT45、Silent Chollima)が、2024年8月に米国の3つの組織に対してサイバー攻撃を行った。Symantecの脅威ハンターチームがこの攻撃を発見した。

Stoneflyは、これまで主に諜報活動を行っていたが、最近では金銭目的の攻撃に重点を移している。攻撃では、Tableau社の偽の証明書や、この攻撃に固有の2つの証明書を使用した。

主な攻撃ツールとして、Stoneflyが独自に開発したマルウェア「Backdoor.Preft」を使用した。これは多段階のバックドアで、ファイルのダウンロード、コマンドの実行、追加プラグインの展開が可能である。

その他、「Nukebot」や侵入テストフレームワーク「Sliver」も使用された。また、「Mimikatz」「Snap2HTML」「Megatools」などの公開ツールも利用している。

2024年7月には、Stoneflyのメンバー1名が、病院などの機関から金銭を脅し取った罪で米国当局に起訴された。しかし、その後も攻撃は継続している。

Stoneflyは北朝鮮の偵察総局と関連があるとされ、米国企業を標的とした金銭目的の攻撃を続けている。これらの攻撃は、情報収集よりも金銭的利益を目的としていると考えられている。

from;North Korea’s ‘Stonefly’ APT Swarms US Private Co’s. for Profit

【編集部解説】

北朝鮮のハッカーグループ「Stonefly」の活動が、米国の民間企業を標的とした金銭目的の攻撃にシフトしていることが明らかになりました。この動向は、サイバーセキュリティ業界に大きな衝撃を与えています。

Stoneflyは、これまで主に諜報活動を行う組織として知られていましたが、最近では金銭的利益を追求する姿勢が顕著になっています。この変化は、北朝鮮の経済状況や国際的な制裁の影響を受けている可能性があります。

注目すべきは、Stoneflyが高度なマルウェアツールを使用していることです。特に「Backdoor.Preft」と呼ばれるマルウェアは、ファイルの操作やコマンドの実行、追加プラグインの展開など、多彩な機能を持っています。これらのツールは、攻撃者に広範な権限を与え、被害組織のネットワークを長期にわたって支配することを可能にします。

また、Stoneflyは公開されているツールも巧みに活用しています。これは、攻撃の痕跡を隠蔽し、attribution（攻撃者の特定）を困難にする戦略だと考えられます。

この事態が示唆するのは、サイバー攻撃の世界が急速に変化していることです。国家支援のハッカーグループが、諜報活動から金銭目的の攻撃へとシフトする傾向は、企業や組織にとって新たな脅威となっています。

特に懸念されるのは、Stoneflyが高度な技術を持ちながら、金銭的動機で行動していることです。これは、より多くの組織が標的となる可能性を示唆しています。従来、国家支援のハッカーグループは特定の政治的または軍事的目的を持っていましたが、金銭目的の攻撃は、より広範な組織を危険にさらす可能性があります。

企業や組織は、このような脅威に対して、セキュリティ対策の強化が急務となっています。特に、パッチ管理の徹底、多要素認証の導入、従業員のセキュリティ意識向上トレーニングなどが重要です。

【用語解説】

• APT (Advanced Persistent Threat): 特定の組織や企業を長期的に狙う高度な持続的脅威。サイバー攻撃の一種で、国家や犯罪組織が関与することが多い。

【参考リンク】

1. Symantec（外部）
   セキュリティソフトウェアの大手企業。Stoneflyの活動を追跡・分析している。
2. Tableau（外部）
   データ分析・可視化ツール。Stoneflyが偽の証明書を使用した対象。
3. CISA（外部）
   米国のサイバーセキュリティ機関。サイバー脅威に関する情報を提供。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

TaTsu

デジタルの窓口　代表 デジタルなことをまるっとワンストップで解決 #ウェブ解析士 Web制作から運用など何でも来い https://digital-madoguchi.com

自己紹介の全文を表示