ウィズセキュアが警告！北朝鮮ハッカー『Andariel』の新たなマルウェア活動

ウィズセキュアが警告する北朝鮮のハッカー活動

フィンランド・ヘルシンキに本社を置くサイバーセキュリティプロバイダー、ウィズセキュアは、北朝鮮に関連する国家ハッカーグループ『Andariel』の新たな活動について警告を発しました。このグループは、公共や法務セクターをターゲットにしたサイバー侵害を行っており、その背景には北朝鮮政府のサイバー諜報活動があると見られています。

Andarielの手法

ウィズセキュアは、Andarielが使用しているマルウェアやコマンド実行パターンから、侵害の帰属を明確に特定しました。例えば、TigerRATという特有のマルウェアが使われており、その活動は過去のAndarielの行動と一致しています。特に注目すべきは、Andarielの目的がサイバー諜報であることです。

最も顕著な証拠の一つとして、同グループが反マネーロンダリング(AML)文書にアクセスしていたことが挙げられます。北朝鮮は国際的な制裁を回避するためにマネーロンダリングに関与しているとされており、今回の侵入はその活動の一環であると考えられます。

ターゲットの拡大

新たな調査によって、Andarielが今後韓国のERPソフトウェアベンダーを標的にする計画があることも明らかになりました。このソフトウェアはすでに2017年にも標的にされており、2024年にも再度狙われる可能性が高いとしています。これにより、Andarielはサプライチェーンへの攻撃に継続的に関心を示していることが分かります。

ウィズセキュアのリサーチチームは、「Andarielは新しいツールと既知の手法を組み合わせ、北朝鮮の諜報活動をサポートし続けています。」と警告を発しています。

新たなマルウェアの発見

最近、ウィズセキュアはAndarielに関連する複数の攻撃と、それらに関わるステージングサーバーから3つの新しいリモートアクセス型トロイの木馬(RAT)を発見しました。それらの名前は、StarshellRAT、JelusRAT、GopherRATです。これらの新たな脅威は、Andarielの操業の多様化を物語っています。

また、ステージングサーバーからは古いツール群とともに、PrintSpooferやカスタマイズされたPetitPotatoサンプル、さらに「Bring Your Own Vulnerable Driver (BYOVD)」手法なども発見されています。これらのツールは、ウイルス対策やEDR製品を無効化するために使用されています。

企業への推奨事項

ウィズセキュアは、企業や団体のユーザー、さらにマネージドサービスプロバイダー(MSP)に対して、以下の対策を推奨しています。エンドポイントの可視性を強化し、ソフトウェアサプライチェーンの完全性を検証し、報告書に記載されている侵害指標(IoC)の確認を行うことが重要です。

この件に関する詳細なレポートは、ウィズセキュアの公式ウェブサイトで見ることができます。サイバー攻撃に対しては万全の対策を講じ、自社を守るための情報を得ることができるでしょう。詳しくは次のリンクをご覧ください：ウィズセキュアレポート。