Lazarus、化学分野を標的に

Broadcom Softwareの一事業部であるシマンテックでは、「Lazarus」として知られる北朝鮮に関連のAPT（高度持続的脅威）グループが、化学分野で活動する組織を標的としたスパイ活動をしていることを確認しました。この活動は、2020年8月に初めて確認されたLazarusの活動「Operation Dream Job」の再開であると考えられています。シマンテックでは、Pompilusの名で行われているLazarusの活動のサブセットを追跡します。

Operation Dream Job

Operation Dream JobにはLazarusが関与していて、偽の求人情報で被害者に悪意のあるリンクをクリックさせたり、悪意のある添付ファイルを開かせたりして、スパイ行為に必要なマルウェアをインストールさせようとします。

これまでのDream Job活動のうち、2020年8月と2021年7月に確認された活動では、防衛、政府、エンジニアリング分野の個人が標的になりました。

最近標的になった分野

2022年1月、シマンテックでは、韓国に拠点を置く数多くの組織のネットワークに対する攻撃活動を検出しました。化学分野の組織が中心でしたが、中には情報技術（IT）分野の組織もありました。しかし、標的になったIT分野の組織も、化学分野の組織へのアクセス手段として利用されていた可能性があります。

こうした最近の活動がOperation Dream Jobの再開であることを示唆するエビデンスも確認されています。そのエビデンスとしては、以前のDream Job活動で確認されたファイルのハッシュ値、ファイル名、ツールが挙げられています。

攻撃は、メール内の悪意のあるリンクやWebからのダウンロードなどで悪意のあるHTMファイルを受信したときに開始されるのが一般的です。HTMファイルはscskapplink.dllというDLLファイルにコピーされ、正規のシステム管理ソフトウェア「INISAFE Web EX Client」に挿入されます。

scskapplink.dllファイルは署名付きのトロイの木馬型ツールであることが一般的で、悪意のあるエクスポートが追加されています。攻撃者は次の署名を使用していることが確認されています。 DOCTER USA, INC and "A" MEDICAL OFFICE, PLLC

次に、scskapplink.dllは、URLパラメータキー/値「prd_fld=racket」を使用して、コマンド&コントロール（C&C）サーバーからペイロードを新たにダウンロードして実行します。

この段階で、攻撃者からのコマンドや他のマルウェアをダウンロードして実行する一連のシェルコードローダーが開始されます。この実行は、Tukaaniプロジェクト「LZMA Utilsライブラリ(XZ utils)」などのトロイの木馬型ツールに追加された悪意のあるエクスポートから行われるのが一般的です。

攻撃者は、WMI（Windows Management Instrumentation）を使用してネットワーク上を横方向に移動し、他のマシンが有するDreamSecurityのMagicLineに侵入します。

実際に、攻撃者がレジストリから認証情報をダンプしたり、永続性を得ようとBATファイルをインストールしたり、スケジュールタスクを使用して特定ユーザとして実行されていることを検出された例もあります。

また、侵害されたマシンで表示されたWebページを一定時間ごとにスクリーンショットでキャプチャするツール(SiteShoter)などの侵害後ツールの展開も確認されました。さらに、IPロギングツール（IPロガー）、コンピュータをリモートでオンにするプロトコル（WakeOnLAN）、ファイルやディレクトリのコピーツール（FastCopy）、MagicLineプロセスで実行されるファイル転送プロトコル（FTP）の使用も確認されました。

ケーススタディ

化学分野の組織での攻撃者の活動を順を追って詳しく説明します。

2022年1月17日

00:51 – 悪意のあるHTMファイルを受信：

• e31af5131a095fbc884c56068e19b0c98636d95f93c257a0c829ec3f3cc8e4ba - csidl_profile\appdata\local\microsoft\windows\inetcache\ie\3tygrjkm\join_06[1].htm

HTMファイルがDLLファイルにコピーされる：

• rundll32.exe CSIDL_PROFILE\public\scskapplink.dll,netsetcookie Cnusrmgr

DLLファイルが、正規のシステム管理ソフトウェア「INISAFE Web EX Client」に挿入される。ファイルは、署名付きトロイの木馬型Notepad++用ComparePlusプラグインです。悪意のあるエクスポートが追加されています。

01:02 – ファイルが起動し、URLパラメータキー/値「prd_fld=racket」で、コマンド&コントロール（C&C）サーバーからバックドアペイロード（final.cpl - 5f20cc6a6a82b940670a0f89eda5d68f091073091394c362bfcaf52145b058db）がダウンロードおよび実行される。

final.cplファイルは、トロイの木馬型Tukaaniプロジェクト「LZMA Utils library (XZ Utils)」です。悪意のあるエクスポート(AppMgmt)が追加されています。

マルウェアは、次のリモートサイトからシェルコードの接続、ダウンロード、デコード、実行を行います：

• hxxp[:]//happy[.]nanoace.co.kr/Content/rating/themes/krajee-fas/FrmAMEISMngWeb.asp

01:04 – 別のCPLファイル（61e305d6325b1ffb6de329f1eb5b3a6bcafa26c856861a8200d717df0dec48c4）が実行される。このファイルも、悪意のあるエクスポートが追加されているトロイの木馬型LZMA Utilsである。

01:13 – シェルコードローダー（final.cpl）が複数回再実行される。

01:38 – SAMおよびSYSTEMレジストリハイブから認証情報をダンプするコマンドが実行される。

この攻撃者は、その後数時間にわたり、final.cplで未知のシェルコードを不規則な間隔で実行していますが、ダンプされたシステムハイブを収集しようとしていた可能性があります。

06:41 – 攻撃者はスケジュールタスクを作成して、システム再起動時の持続性を確保：

• schtasks /create /RU [REDACTED].help\175287 /ST 15:42 /TR "cmd.exe /c C:\ProgramData\Intel\Intel.bat" /tn arm /sc MINUTE

スケジュールタスク「arm」により、ユーザー「[REDACTED].help/175287」として、「Intel.bat」を実行することがシステムに指示されています。15：42開始で、以降1分ごとに設定されています。アカウントが、ダンプされたレジストリハイブからクラッキングされたものなのか、もしくは攻撃者の管理者権限で作成されたものなのかは不明です。

また、攻撃者により、CPLファイルを介してCryptoDome (PyCrypto系列）のPython暗号化モジュールがインストールされていることも確認されました。

さらに、BitDefenderのクリーンインストールもインストールされました。脅威アクターは未確認ですが、任意のコマンドをリモートで実行できる脆弱性を利用して、古いバージョンのソフトウェア（2020年以降）をインストールしていた可能性があります。

1月18日

00:21 – final.cpllファイルが再実行される。

00:49 – wpm.cpl (942489ce7dce87f7888322a0e56b5e3c3b0130e11f57b3879fbefc48351a78f6)という名前の新しいCPLファイルが実行される。

• CSIDL_COMMON_APPDATA\finaldata\wpm.cpl Thumbs.ini 4 30

このファイルにはIPアドレスのリストが含まれ、実際に接続を行い、接続が成功したかどうかが記録されます。 

01:11 – final.cplシェルコードローダーが複数回実行され、未知のシェルコードを実行する。この動作は23：49まで断続的に行われた。

23:49 – CPLファイルのファイル名が「ntuser.dat」に変更される。ファイルの場所とコマンドライン引数はそのまま変わらず。

1月19日

00:24 – CPLシェルコードローダーファイル（final.cplおよびntuser.dat）が複数回実行される。

00:28 – 攻撃者が、別のマシンでスケジュールタスクを作成する。永続性を確保しようとしていると考えられる。

• schtasks /create /RU [REDACTED]\i21076 /ST 09:28 /TR "cmd.exe /c C:\ProgramData\Adobe\arm.bat" /tn arm /sc MINUTE

コマンドにより、「arm」タスクがスケジュールされ、「[REDACTED]\i21076」のユーザーアカウントで「arm.bat」ファイルが09：28から1分おきに実行されるようになります。

00:29 – arm.datという名前のファイル（48f3ead8477f3ef16da6b74dadc89661a231c82b96f3574c6b7ceb9c03468291）が、次のコマンドライン引数で実行される。

• CSIDL_SYSTEM\rundll32.exe CSIDL_COMMON_APPDATA\adobe\arm.dat,packageautoupdater LimitedSpatialExtent_U_f48182 -d 1440 -i 10 -q 8 -s 5

arm.datファイルは、コマンドライン引数で定められるとおり、侵害されたマシンで表示されるWebページを10秒ごとにスクリーンショットでキャプチャするツール（SiteShoter）です。スクリーンショットはappdata\localに保存され、ファイルの先頭に日付が表示されます。

06:50 – シェルコードローダー（final.cpl）が複数回実行される。

07:34 – addins.cplという名前の新しいCPLファイル（5f20cc6a6a82b940670a0f89eda5d68f091073091394c362bfcaf52145b058db）が複数回実行される。これも別のシェルコードローダーで、final.cplのときと同じコマンドライン引数を有する。

• CSIDL_SYSTEM\rundll32.exe CSIDL_COMMON_APPDATA\addins.cpl, AppMgmt EO6-CRY-LS2-TRK3

07:39 – スケジュールタスクが作成される。

• sc create uso start= auto binPath= “cmd.exe /c start /b C:\Programdata\addins.bat” DisplayName= uso

タスクにより、システムが起動すると、addins.batも自動的に起動および実行されるようになります。タスクでは、「uso」（セキュリティ研究者を標的にした昔のDream Job活動で使用されていたファイル名）というサービス名が使用されています。

攻撃者はaddins.cplを再実行してコマンドを実行します。すると、サービスが開始して、次の直後にサービスが削除されます。

• CSIDL_SYSTEM\rundll32.exe CSIDL_COMMON_APPDATA\addins.cpl, AppMgmt EO6-CRY-LS2-TRK3
• sc start uso （cmd.exe経由）
• sc delete uso

その後、次のコマンドが実行され、ネットワーク設定、攻撃者がログインしている現行ユーザー、マシン上のアクティブユーザー、使用可能な共有ドライブ、「addins」ディレクトリのコンテンツに関する情報が収集されました。

• ipconfig /all
• whoami
• query user
• net use
• dir CSIDL_WINDOWS\addins

07:41 – addins.cplファイルが複数回再実行され、その後、addins.batを再実行してサービスを開始したらすぐにサービスを削除するスケジュールタスクが作成される。

• sc create uso start= auto binPath= "cmd.exe /c start /b C:\Windows\addins\addins.bat" DisplayName= uso
• sc start uso
• sc delete uso

1月20日

攻撃者により、以前と同じコマンドラインを使用してaddins.cplが再実行される。

確認された活動は以上です。

Lazarusグループは、北朝鮮独自の取り組みをさらに進めるために、化学分野の組織を標的にして、この分野の知的財産を取得しようとしている可能性があります。彼らによるOperation Dream Jobの再開は、シマンテックだけでなく他でも確認されているとおり、オペレーションが十分にうまくいっていることを示唆しています。そのため、組織としては十分なセキュリティを確保し、このような攻撃に対し警戒を怠らないようにする必要があります。

一見信頼できそうなソースであっても、リンクのクリックやファイルをダウンロードは、これまでどおり慎重に行いましょう。

保護/緩和

Symantec Protection Bulletinで保護に関する最新情報をご確認ください。

侵害の痕跡

SHA-256

164f6a8f7d2035ea47514ea84294348e32c90d817724b80ad9cd3af6f93d83f8

18686d04f22d3b593dd78078c9db0ac70f66c7138789ad38469ec13162b14cef

1cb8ea3e959dee988272904dbb134dad93539f2c07f08e1d6e10e75a019b9976

2dd29b36664b28803819054a59934f7a358a762068b18c744281e1589af00f1f

32bfdf1744077c9365a811d66a6ea152831a60a4f94e671a83228016fc87615f

35de8163c433e8d9bf6a0097a506e3abbb8308330d3c5d1dea6db71e1d225fc3

4277fcaada4939b76a3df4515b7f74837bf8c4b75d4ff00f8d464169eede01e3

4446efafb4b757f7fc20485198236bed787c67ceffc05f70cd798612424384ce

48f3ead8477f3ef16da6b74dadc89661a231c82b96f3574c6b7ceb9c03468291

4a2236596e92fa704d8550c56598855121430f96fe088712b043cba516f1c76c

54029bd4fcc24551564942561a60b906bee136264f24f43775b7a8e15095a9e0

56da872e8b0f145417defd4a37f357b2f73f244836ee30ac27af7591cda2d283

5e7edc8f1c652f53a6d2eabfbd9252781598de91dbe59b7a74706f69eb52b287

5f20cc6a6a82b940670a0f89eda5d68f091073091394c362bfcaf52145b058db

61e305d6325b1ffb6de329f1eb5b3a6bcafa26c856861a8200d717df0dec48c4

67f1db122ad8f01e5faa60e2facf16c0752f6ab24b922f218efce19b0afaf607

7491f298e27eb7ce7ebbf8821527667a88eecd5f3bc5b38cd5611f7ebefde21e

79b7964bde948b70a7c3869d34fe5d5205e6259d77d9ac7451727d68a751aa7d

7aa62af5a55022fd89b3f0c025ea508128a03aab5bc7f92787b30a3e9bc5c6e4

8769912b9769b4c11aabc523a699d029917851822d4bc1cb6cc65b0c27d2b135

8aace6989484b88abc7e3ec6f70b60d4554bf8ee0f1ccad15db84ad04c953c2d

942489ce7dce87f7888322a0e56b5e3c3b0130e11f57b3879fbefc48351a78f6

a881c9f40c1a5be3919cafb2ebe2bb5b19e29f0f7b28186ee1f4b554d692e776

bdb76c8d0afcd6b57c8f1fa644765b95375af2c3a844c286db7f60cf9ca1a22a

d815fb8febaf113f3cec82f552dfec1f205071a0492f7e6a2657fa6b069648c6

e1997d1c3d84c29e02b1b7b726a0d0f889a044d7cd339f4fb88194c2c0c6606d

e31af5131a095fbc884c56068e19b0c98636d95f93c257a0c829ec3f3cc8e4ba

ef987baef9a1619454b14e1fec64283808d4e0ce16fb87d06049bfcf9cf56af3

f29d386bdf77142cf2436797fba1f8b05fab5597218c2b77f57e46b8400eb9de

f7359490d6c141ef7a9ee2c03dbbd6ce3069e926d83439e1f8a3dfb3a7c3dc94

f8995634b102179a5d3356c6f353cb3a42283d9822e157502486262a3af4447e

ff167e09b3b7ad6ed1dead9ee5b4747dd308699a00905e86162d1ec1b61e0476

ネットワーク

52.79.118.195

61.81.50.174

[URL]/[FOLDER]/[FILENAME]asp?prd_fld=racket

happy.nanoace[.]co.kr

hxxp://happy.nanoace[.]co.kr/Content/rating/themes/krajee-fas/FrmAMEISMngWeb.asp

hxxps://mariamchurch[.]com/board/news/index.asp

hxxps://www.aumentarelevisite[.]com/img/context/offline.php

mariamchurch.com

www.aumentarelevisite[.]com

www.juneprint[.]com

www.jungfrau[.]co.kr

www.ric-camid[.]re.kr

ファイル名

addins.cpl

dolby.cpl

ezhelp.cpl

final.cpl

officecert.ocx

wpm.cpl

サービス

arm

uso