SentinelLabsは1月22日(米国時間)、「ScarCruft|Attackers Gather Strategic Intelligence and Target Cybersecurity Professionals - SentinelOne」において、北朝鮮問題の専門家や報道機関を標的とする北朝鮮の持続的標的型攻撃(APT: Advanced Persistent Threat)グループとされる「ScarCruft」のキャンペーンを観察したとして、調査結果を報告した。SentinelLabsはScarCruftの調査において、将来の攻撃に向けた開発およびテストを目的にしたとみられるマルウェアを確認している。

ScarCruft|Attackers Gather Strategic Intelligence and Target Cybersecurity Professionals - SentinelOne

○キャンペーンの感染経路

SentinelLabsによると、この脅威グループは北朝鮮問題の専門家や北朝鮮に焦点を当てた報道機関に対して北朝鮮研究所のメンバを偽装したフィッシングメールを送信したという。このメールには「December 13th announcement.zip(元は韓国語だが、英語へ機械翻訳している)」というファイル名のアーカイブが添付されていた。このアーカイブには9つのファイルが含まれており、そのうち7つは無害なファイルで、残り2つが悪意のあるLNKファイルとされる。

これら9つのファイルには北朝鮮の人権に関連するファイル名がつけられており、悪意を感じさせない作りになっている。LNKファイルは48MBを超えるサイズがあり、実行すると最終的にマルウェア「RokRAT」に感染する。

ScarCruftの攻撃によるマルウェアの感染経路 引用:SentinelOne

このLNKファイルを実行すると、PowerShellスクリプトが実行される。このスクリプトは実行元のLNKファイルをそのファイルサイズから見つけ出し、LNKファイルからおとりの文章とWindowsのバッチスクリプトを抽出して保存、それぞれを表示または実行する。その後、元になったLNKファイルを削除する。

バッチスクリプトを皮切りに、いくつかのPowerShellスクリプトが順次実行される。最後のスクリプトは主要なクラウドサーバから暗号化されたRokRATをダウンロード、復号して実行する。RokRATはpCloudやYandex Cloudなどのクラウドサーバをコマンド&コントロール(C2: Command and Control)サーバとして使用するバックドア型マルウェアとされる。

○将来に起こるかもしれない攻撃

SentinelLabsはScarCruftの活動を調査している際に、将来の攻撃に向けた開発およびテストの一部と評価できるマルウェアを入手している。このマルウェアには従来のものと同様にRokRAT、ツール、巨大なLNKファイル2つが含まれていたが、LNKファイルによる感染経路が従来のものと少し違うという。SentinelLabsの分析によると、このLNKファイルは過去の感染経路の分析によって開発されたセキュリティソリューションの検出機能を回避する修正が行われた可能性があるとしている。

また、実行されるスクリプトの一部にNotepadを開くだけの処理があることから、開発中またはテストを目的としたマルウェアと評価している。SentinelLabsはマルウェアに含まれているおとり文章やファイル名などから、今後、脅威インテリジェンス報告書を閲覧する専門家を標的としたフィッシングまたはソーシャルエンジニアリングキャンペーンが実行される可能性があるとして注意を呼びかけている。

SentinelLabsは今回の調査において判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。