北朝鮮のハッカーが東南アジア全域にステルス攻撃を仕掛け、新たなVeilShellバックドアを展開

翻訳内容：

恐ろしい新事実として、北朝鮮のサイバースパイ集団が、東南アジア全域でステルス型のサイバー攻撃を実行するために、VeilShellと呼ばれる新しいバックドアマルウェアを使用していることが発見された。セキュリティ専門家は、この活動を、InkySquid、Reaper、RedEyes、ScarCruftなど複数の別名で活動する悪名高いハッカー集団APT37と関連付けている。北朝鮮の国家保衛省とつながりを持つAPT37は、2012年から活動しており、政府や企業部門を標的とした高度なサイバー攻撃で悪名高い。

SHROUDED#SLEEPキャンペーン

セキュリティ研究者は、この最新の作戦を「SHROUDED#SLEEP」と名付けました。これは、サイバー犯罪者が示したステルス性と忍耐力にふさわしい名前です。このグループは、カンボジアや東南アジアの他の国々を特に狙ってこの作戦を実行していると考えられています。攻撃者は、リモートアクセストロイの木馬 (RAT)である VeilShell を利用して、侵入したマシンを完全に制御し、データを盗み出し、システムレジストリを操作し、密かにタスクをスケジュールすることを目指しています。

VeilShell はどのように機能しますか?

この攻撃の際立った特徴の 1 つは、VeilShell がターゲットシステムに侵入する方法です。最初のペイロードがどのように配信されるかはまだ不明ですが、専門家は、このグループがスピアフィッシングメール (個人を騙して悪意のあるリンクをクリックさせたり、感染したファイルをダウンロードさせたりするための非常にターゲットを絞った手法) を使用していると推測しています。第 1 段階のペイロードは、Windows ショートカット (LNK) ファイルを含む ZIP アーカイブ経由で配信される可能性があります。

何も知らないユーザーが LNK ファイルを起動すると、一連のアクションが実行されます。Windows 環境でよく使用されるスクリプト言語である PowerShell コードがバックグラウンドで実行され、ファイル内に隠されたコンポーネントをさらに抽出します。疑いを持たれないように、攻撃では Microsoft Excel や PDF ファイルなどの一見無害なドキュメントでユーザーの注意をそらしながら、バックグラウンドでより危険なマルウェアコンポーネントをインストールします。

本当の脅威は、Windows のスタートアップフォルダに戦略的に配置された悪意のあるファイルである DomainManager.dll から来ています。このファイルは、システムが再起動するたびに実行され、永続性を確保します。このファイルはリモートコマンドアンドコントロール (C2) サーバーと通信し、攻撃者が感染したデバイスを制御できるようにします。そこから、攻撃者はファイルをスパイしたり、機密データをアップロードしたり、さらに悪意のあるツールをダウンロードしたり、痕跡を隠すためにファイルを削除したり名前を変更したりすることができます。

AppDomainManager インジェクション: 巧妙なテクニック

この攻撃が他のサイバー攻撃と異なるのは、AppDomainManager インジェクションと呼ばれる技術を巧みに使用している点です。複雑に聞こえるかもしれませんが、この手法により、攻撃者は警告を発することなく、正規のプログラムが起動するたびに悪意のあるコードを実行できます。この戦術は最近、中国と連携する別のハッカーグループによって採用されており、この手法が世界中のサイバー犯罪者の間で人気を集めていることを示しています。

長期戦：APT37 が検知を逃れる方法

この攻撃が長い間検出されなかった理由の 1 つは、攻撃者の忍耐力です。攻撃者は VeilShell の展開に成功しても、すぐには起動しません。代わりに、マルウェアはシステムが再起動されるまで休眠状態になります。この起動の遅延と長いスリープ時間 (実行の一時停止) が組み合わさって、従来のセキュリティツールによるマルウェアの検出が難しくなります。これらの手法により、ハッカーは長期間検出を回避し、情報を収集して侵害されたシステムを制御し続けることができます。

影響と将来の脅威

この最近の発見は、北朝鮮のサイバー能力に対する懸念の高まりに拍車をかけるものである。APT37、 Lazarus 、Kimsukyなどのグループはいずれも、スパイ活動、金銭的利益、破壊活動を目的とした国家支援のサイバー攻撃に関与しているとされている。VeilShellのような高度なツールの使用が増えていることから、これらのグループは世界のサイバーセキュリティ環境にとって大きな脅威となっている。

専門家は、北朝鮮のハッカー集団は米国や欧州を含む複数の地域を標的にしてきた歴史があるため、この攻撃は東南アジアを越えて容易に広がる可能性があると警告している。実際、VeilShell が発見される数日前には、Andariel として知られる別の北朝鮮集団が金銭目的の攻撃で米国組織に対する攻撃を開始していた。

VeilShell や類似の脅威からの保護

組織や個人にとって、これはスピアフィッシング攻撃に対して警戒を怠らず、すべてのシステムを最新のセキュリティパッチで定期的に更新することの重要性を浮き彫りにしています。このような攻撃のリスクを軽減するためのヒントをいくつか紹介します。

予期しない電子メールに注意してください:予期しない添付ファイルやリンクを含む電子メールを受信した場合は、クリックする前によく考えてください。
ソフトウェアを最新の状態に保つ:オペレーティングシステムとアプリケーションに定期的にパッチを適用すると、攻撃者が悪用するセキュリティのギャップを解消できます。

ウイルス対策ソフトウェアを使用する:完璧ではありませんが、優れたウイルス対策プログラムは多くの一般的な脅威を検出してブロックできます。

2 要素認証 (2FA) を有効にする:セキュリティ層を追加すると、たとえパスワードを盗まれたとしても、攻撃者がアクセスするのが難しくなります。

結論として、VeilShell マルウェアと SHROUDED#SLEEP キャンペーンは、サイバーセキュリティの世界における脅威が常に進化していることをはっきりと思い出させてくれます。注意を怠らず、積極的なセキュリティ対策を講じることで、個人や企業はこれらの危険な攻撃者の一歩先を行くことができます。

EnigmaSoft の Windows 向け SpyHunter が AV-TEST 認定を取得

検索

地域を変更