見出し画像

【S2W単独速報】(解説)DMMを攻撃した北の「TraderTraitor」グループについて

Darkpedia: サイバー犯罪のダークトレンド

今年5月にDMMビットコインから約482億円相当のビットコインが流出した事件について、警察庁と米連邦捜査局(FBI)は、本日(12月24日)北朝鮮の軍傘下の組織によるものであると発表しました。

警察庁によると、北朝鮮軍の対外工作機関の偵察総局と関連する「TraderTraitor(トレーダー・トレイター)」と呼ばれるグループによる犯行とのことです。

「TraderTraitor」は、日本などへのサイバー攻撃に関わったとされる悪名高い「Lazarus(ラザルス)」グループの一部とみられます。

今回の記事では「TraderTraitor」についてS2Wのアナリストグループがその特徴をまとめました。


■トレーダー・トレイター(TraderTraitor)について

・別名: Bluenoroff、APT38、TA444、Sapphire Sleet、UNC1069、Stardust Chollima、G0082、NICKEL GLADSTONE、BeagleBoyz、CryptoCore、UNC1069、CrimSuky、Jade Sleet、UNC4899、Storm-0954、PUKCHONG、Slow Pisces、Tenacious Pungsan
・関与が疑われる国:北朝鮮
・関連するマルウェア:BeaverTail、InvisibleFerret
・関連ツール:-
・対象分野:IT
・対象地域/国:不特定
・攻撃ベクトル:
ソフトウェア依存関係と開発ツールの侵害 (T1195.001)、アカウントの確立 (T1585)、マルウェア (T1588.001)、サービス経由のスピアフィッシング (T1566.003)、パスワードマネージャー (T1555.005)、コマンド難読化 (T1027.010)、マスカレード (T1036)、Webブラウザからの認証情報 (T1555.003)、JavaScript (T1059.007)、C2チャネル経由の流出 (T1041)、悪意のあるファイル (T1204.002)

「TraderTraitor」の黒幕と見られる「Bluenoroff」に関するプロファイリング情報(S2W QUAXAR画面)

「TraderTraitor」は、北朝鮮のAPTグループで、2016年バングラデシュ中央銀行に対する攻撃を行ったグループとして初めて確認されました。

同グループの主な目標は金銭を奪い取ることであり、登場初期には主に銀行や暗号資産取引所を対象にターゲティング攻撃を行うという特徴が目立ちました。

しかし、2017年以降から最近の「TraderTraitor」グループは、開発者や暗号資産関連の従事者を対象にスピアフィッシングを通じた攻撃活動を行っています。
代表的なものとしてスピアフィッシングメールを通じてばら撒かれたマルウェア「DangerousPassword」や、SNSなどのプラットフォームでIT産業従事者を対象にヘッドハンティングを装い流布されるマルウェア「TraderTraitor」が存在し、Windows OSだけでなく、macOSを対象にも多数のマルウェアを流布する試みが確認されています。

「TraderTraitor」の黒幕と見られる「Bluenoroff」の攻撃パターンや関連マルウェア、悪用する脆弱性などに関する情報まとめ(S2W QUAXAR画面)

■NPMパッケージを介して流布されるマルウェア「BeaverTail」と「InvisibleFerret」

2024年4月24日、S2Wは北の攻撃活動と見られるC&Cサーバー*から悪意あるPythonスクリプトが流布されることを確認し分析を行いました。
(*C&Cサーバとはマルウェアなどを遠隔で操作し、サイバー攻撃を行うためのサーバーです。)

悪意のあるPythonスクリプトは「InvisibleFerret」と呼ばれるタイプのRATマルウェアで、「BeaverTail」と呼ばれる悪意のあるNPMパッケージからダウンロードして実行されます。

その後の調査の結果、最初の感染を引き起こす「BeaverTail」は、採用面接を装って被害者に接近した後、直接流布されるか、NPMリポジトリを介したサプライチェーン攻撃を通じて流布されたことが確認されました。

「BeaverTail」は、感染したデバイス内のブラウザに保存されたクレデンシャル情報と暗号資産ウォレットに関するクレデンシャル情報を盗み出し、攻撃者のC&Cサーバから「InvisibleFerret」をダウンロードし実行します。

「InvisibleFerret」はC&Cサーバからコマンドを受信し、システムコマンドの実行、キーロギング、追加のペイロードダウンロード、情報の窃取などを実行することができます。

「InvisibleFerret」は上記のような主要な悪意ある行為を行うプログラムがモジュール化されていることが特徴で、後続攻撃のためにAnyDeskを感染デバイスにインストールして実行する機能もあります。

該当攻撃キャンペーンの黒幕について、現在S2Wは「Bluenoroff」グループ**のサブクラスター「TraderTraitor」に関連した活動と見ています。

(**「BlueNoroff」グループ:北朝鮮のAPTグループ「Lazarus」の下部組織とされるハッカーグループ )

「Bluenoroff」の関係性グラフ(S2W QUAXAR、画面)。
該当のハッカーや脅威アクターと個別のマルウェアとの関係性などを視覚的に明らかにしている。QUAXARでは、個別の脅威アクターのプロファイリングや該当脅威アクターからの攻撃の予防に役立つ情報などがすぐに活用できる形で提供している。