SecurityScorecardは、同社の脅威分析チーム「STRIKE」が実施した最新の調査レポート『Operation Phantom Circuit:北朝鮮による世界規模のデータ窃取攻撃』を発表した。
同レポートでは、北朝鮮のハッカー集団「Lazarus」による世界規模のデータ窃取攻撃の手口を分析したもの。サプライチェーン攻撃を通じて正規ソフトウェアを改ざんしてバックドアを仕込み、企業や開発者の機密データを巧妙に奪取する手法が明らかになったとしている。
サプライチェーン攻撃の手口
難読化されたバックドアを埋め込むことで、正規のソフトウェアパッケージを改ざんし、ソフトウェア開発者を騙すことで、これらの危険なパッケージを実行させることが確認されているという。一般人の目にはわからないため、感染者に気づかれず、巧妙に実行されるとのことだ。こうしたパッケージには、暗号通貨アプリから認証ソリューションまで、あらゆる種類のソフトウェアが含まれている可能性があるという。
全世界への拡大
全世界の暗号通貨業界とソフトウェア開発者を標的に、世界規模の攻撃を組織的に行っていたことが明らかに。この攻撃によって、何百人もの感染者がペイロードをダウンロードして実行し、その間に窃取されたデータは密かに北朝鮮・平壌へ送信されていたとのことだ。
主な調査結果
- 攻撃インフラの特定に成功:Lazarusが使用していた標的型攻撃の作戦インフラを特定し、Astrill VPNからのトラフィックを、プロキシを通じて目的地のC2サーバーへ巧妙にルーティングしていた事実を明らかに
- 北朝鮮からの通信を追跡:VPN経由で平壌にある6つの異なるIPアドレスへ接続が行われていたことが判明し、攻撃の背後に北朝鮮が存在する明確な証拠を入手
- ソフトウェアサプライチェーン攻撃の実施:正規ソフトウェアに悪質なコードを埋め込むサプライチェーン攻撃が行われ、2024年9月~2025年1月の間に世界中で233件の被害を確認
- 高度なC2管理アプリケーションの存在:窃取データや攻撃の制御には、ReactアプリケーションとAPIで構築された専用の管理アプリケーションが使用されており、すべてのC2サーバーに展開され、ポート1245を通じて管理されていたことが判明
今回の攻撃は、ユーザーが信頼を寄せる開発ツールにペイロードを埋め込むことで、ソフトウェアサプライチェーン全体に影響を与えた点が特に深刻であり、企業や開発者が使用する正規ソフトウェアでさえ安全ではないことを示唆したという。
また、攻撃者はVPNやプロキシを悪用して発信元を隠蔽し、検出を最小限に抑え、防護策を回避しながら、長期間にわたり攻撃インフラを維持していたため、サプライチェーン全体の監視・防御の重要性が改めて浮き彫りになったとしている。
SecurityScorecardは、以下の対策を推奨している。
- ソフトウェアのコード検証プロセスを厳格化
- ネットワークトラフィックの常時監視
- サプライチェーンのセキュリティ体制強化
- セキュリティ担当者同士のグローバル規模での情報共有の強化
- Lazarusのような高度な攻撃手法に備える体制整備
- 難読化・ゼロデイに対応する高度な分析・検知機能の導入
- 堅牢な監視ツールを導入し、リアルタイムで脅威を検知・対応
- パッチ管理の徹底
- 予防的防御の導入
【関連記事】
・SecurityScorecardの社長が語る、最新のサプライチェーン攻撃に対抗するための備えとは?
・ショッピングシーズン迎える小売業界、重大な脆弱性の存在が明らかに──SecurityScorecard
・国内データ侵害の4割がサードパーティー由来の攻撃に起因──SecurityScorecard調査
