ナチョチーズ

北朝鮮を起源とする最も悪名高いハッキンググループは、APT38（Advanced Persistent Threat）と呼ばれます。それらは別名ラザロの下でも知られており、かなり長い間活動しています。 APT38ハッキンググループは北朝鮮政府のために働いていることが知られており、彼らの努力は北朝鮮の利益を世界的に促進することに集中しています。政府に雇われているほとんどのハッキンググループは、かなり保守的な方法で活動し、ターゲットのシステムに不必要な損害を与えないようにします。ただし、APT38グループはこのような予防措置に関心を持たず、侵入したシステムを完全に破壊することがありますが、これは重要ではありません。 APT38の一部のメンバーは、米国のFBIからも指名されています。

システムのコマンドラインを引き継ぐ

NACHOCHEESEの脅威はAPT38のハッキングツールの一部であり、最も複雑な脅威ではないかもしれませんが、キャンペーンの重要なツールであることが証明できます。このマルウェアはコマンドラインハッキングツールであり、APT38グループはこれを第2段階のペイロードとして侵害されたシステムに植え付けます。 NACHOCHEESEマルウェアにより、攻撃者はシステムのコマンドラインを制御することにより、侵害されたホスト上でリモートコマンドを実行できます。

研究者をだまそうとするAPT38の試み

NACHOCHEESE脅威の興味深い特徴は、コードの特定の部分が非常に貧しいロシア語で書かれていることです。 APT38がサイバーセキュリティの専門家を混乱させ、NACHOCHEESEバックドアは北朝鮮ではなくロシアに由来すると信じ込ませようとした可能性があります。これは、APT38によって作成された脅威に対処する際に繰り返し発生するテーマです。過去のキャンペーンで、マルウェア研究者は中国語、ロシア語、イラン語で書かれたコード行を発見しました。 APT38が使用することを好むもう1つのトリックは、侵害されたホストに簡単に検出可能な別個の脅威を展開することです。これは、NACHOCHEESEが長い間気付かれないようにするのに役立つかもしれません。

APT38は政府が資金を提供しているため、その脅迫活動はおそらく今後も続き、この悪名高いハッキンググループによって作成された新しい脅威を見続けるでしょう。