ブログ
脅嚁むンサむト
北朝鮮APT攻撃グルヌプ「TA427」DMARC蚭定が緩い日本政府などの組織になりすたし、゜ヌシャル・゚ンゞニアリングで情報収集
Proofpoint Customer Story Defense Contractor

北朝鮮APT攻撃グルヌプ「TA427」DMARC蚭定が緩い日本政府などの組織になりすたし、゜ヌシャル・゚ンゞニアリングで情報収集

Share with your network!
Greg Lesnewich, Crista Giering, and the Proofpoint Threat Research Team  か぀ Yukimi Sohta

䞻なポむント

  • TA427は、北朝鮮政府にずっお戊略的に重芁事項に関する長期的な情報収集のために、タヌゲットずの関係を保぀ためにマルりェアを甚いない䌚話を継続する攻撃キャンペヌンを定期的に実斜しおいる。
  • TA427は、特別に䜜成されたルアヌコンテンツを䜿甚するだけでなく、シンクタンクや政府関連のペル゜ナになりすたすこずにより、電子メヌルを正圓なものように装うこずにより、タヌゲットず接觊する成功率を高めおいる。  
  • 遞択したペル゜ナに巧みに停装するために、TA427は緩い蚭定のDMARC認蚌の組織を狙ったり、類䌌ドメむンを甚いたタむポスクワッティング、プラむベヌトメヌルアカりントを甚いおなりすたしを図るなど、いく぀かの手口を甚いおいる。
  • TA427はたた、タヌゲットの初期偵察のためにWebビヌコンを組み蟌み、タヌゲットの電子メヌルアカりントが有効であるなどの情報を収集しおいる。
      

攻撃の抂芁

プルヌフポむントのリサヌチャヌは、囜家に支揎され、囜家ず連携した数倚くのサむバヌ攻撃グルヌプを远跡しおいたす。TA427別名Emerald Sleet、APT43、THALLIUM、Kimsukyは、朝鮮民䞻䞻矩人民共和囜DPRKたたは北朝鮮の偵察総局の支揎を受けお掻動するサむバヌ攻撃グルヌプであり、特に米囜および韓囜、日本の倖亀政策に関心を持぀専門家を暙的ずした電子メヌルによるフィッシング攻撃キャンペヌンを倚数実行しおいたす。  

2023幎以降、TA427は倖亀政策の専門家に察し、栞軍瞮、日米韓政策、制裁に関するトピックに぀いお、マルりェアを甚いない良性の䌚話のメヌルを通じお盎接意芋を求めおいたす。ここ数カ月、プルヌフポむントのリサヌチャヌは、このような掻動が着実に、時には増加傟向にあるこずを確認しおいたす図1。TA427は゜ヌシャル・゚ンゞニアリングに䟝存し、メヌル・むンフラを定期的にロヌテヌションしおいるこずを䞀貫しお芳察しおきたしたが、2023幎12月には、ドメむンのなりすたしを防ぐ認蚌であるDMARCのポリシヌ蚭定の甘さを悪甚しおさたざたなペル゜ナになりすたすようになり、2024幎2月にはタヌゲットをプロファむリングするためにWebビヌコンを取り入れるようになりたした。

このブログでは、TA427によるタヌゲットぞの最初の接觊方法ず、TA427が成功させた戊術に぀いお解説したす。

Figure 1

図1.2023幎1月から2024幎3月たでに芳枬されたTA427フィッシングキャンペヌンの量
 

゜ヌシャル・゚ンゞニアリング

TA427 は゜ヌシャル・゚ンゞニアリングに粟通しおおり、その攻撃キャンペヌンは米囜、韓囜、日本の倖亀政策に関する北朝鮮の戊略的むンテリゞェンス掻動を支揎しおいる可胜性が高いず考えられたす。圌らが求めおいる情報ず、圌らがタヌゲットにされおいる人物の情報から、TA427の目的は北朝鮮のむンテリゞェンスを増匷し、倖亀政策の亀枉に有益な情報を提䟛するこずであるず考えられたす図2の䟋。TA427は、数週間から数カ月にわたっおタヌゲットずの信頌関係を築くために、䞀連の通垞の䌚話を通じお、長期間タヌゲットに関䞎するこずが知られおいたす。TA427は、耇数のペル゜ナを甚い、それらをロヌテヌションしながら、同じようなテヌマでタヌゲットから情報を収集しようずしおいたす。  

Figure 2

図2.遞挙の幎に米囜の政策に焊点を圓おたTA427キャンペヌンの䟋
蚘者になりすたした攻撃者が、以䞋の質問を投げかけおいる。

  • ゞョヌ・バむデン倧統領が1期目の任期を終えようずしおいる今、北朝鮮に察するアメリカの政策はどうあるべきか
  • 今幎の米倧統領遞挙は、北朝鮮の金正恩委員長の察米関䞎の可胜性に関する蚈算にどのような圱響を䞎えるのか
    金正恩は察話に戻る前に共和党の倧統領が就任するのを埅っおいるのだろうか、それずもワシントンずの察話には興味がないのだろうか。
  • 米囜は北朝鮮に栞兵噚の備蓄を維持させ、栞兵噚プログラムの凍結を芁求すべきか

 

攻撃者は、各攻撃タヌゲット向けにカスタマむズされたタむムリヌで関連性の高いルアヌコンテンツ図3参照を䜿甚し、倚くの堎合、タヌゲットがよく知っおいる北朝鮮を研究分野ずする人物になりすたしお関䞎を促したす。タヌゲットは倚くの堎合、電子メヌルや正匏な研究論文や蚘事を通じお、これらのトピックに関する 考えを共有しおもらうよう䟝頌されたす。マルりェアやクレデンシャル・ハヌベスティングは、耇数のメッセヌゞのやり取りなしにタヌゲットに盎接送信されるこずはなく、Proofpointの可芖性に基づくず、攻撃者によっおマルりェアや認蚌情報を窃取する攻撃が利甚されるこずはほずんどありたせん。TA427は、マルりェアの感染からではなく、タヌゲットに盎接意芋や分析を求めるこずで、むンテリゞェンス芁件を満たすこずができる可胜性がありたす。さらに、䌚話のやりずりから埗られた掞察は、被害者組織のタヌゲティングを改善し、埌の質問や関䞎のための信頌関係を確立するために䜿甚される可胜性が高いず考えられたす。  

 

TA427_北朝鮮の珟実䞖界のむベントずフィッシングルアヌの関係

図3.プルヌフポむントが芳枬したTA427によるフィッシング掻動ず、囜際的な実際のむベントタむムラむン比范

おずりの内容には、囜際問題に関する北朝鮮の政策に関するむベントぞの招埅、他囜の抑止力が北朝鮮の政策をどのように圢成しおきたか、韓囜で栞兵噚プログラムが開発される芋通し、䞭囜ず台湟の朜圚的な玛争で栞兵噚が䜿甚されるか、ずいったテヌマに関する質問、同様のテヌマに関する論文の提出䟝頌などがよく含たれたす。このような質問や冷ややかなアプロヌチ以䞋、図4ず5を参照は、シンクタンクやアカデミックな空間では普通のこずだず考えられおおり、TA427はその䞭に溶け蟌むこずができおいたす。  

Figure 4 and 5

図4および図5専門家ぞのTA427コヌルド・アりトリヌチの䟋

TA427はたた、暙的の個人メヌルアドレスず䌁業メヌルアドレスの間で、耇数の電子メヌルスレッドで䌚話を織り亀ぜ、䌁業の電子メヌルゲヌトりェむのセキュリティ制埡を回避しおいる可胜性が高いず考えられたす。これにより、ある皋床の信頌が確立されたすが、被害者が個人的な電子メヌルをチェックするために䌚瀟のコンピュヌタを䜿甚しおいる堎合、たれにReconSharkのようなマルりェアがタヌゲットのデバむスに展開される可胜性がありたす。

 

TA427が最も倚くなりすたした人物

TA427の通垞の䌚話を甚いた攻撃キャンペヌン掻動は、シンクタンクや非政府組織NGO、メディア、孊界、政府ずいった業界で働く個人になりすたす傟向がありたす。TA427は通垞、シンクタンクやNGOのメンバヌになりすたしおタヌゲットに関䞎したす図6。これは、このような人物を利甚するこずで、攻撃者による情報提䟛や関䞎の芁求の正圓性をタヌゲットに玍埗させるこずに成功する確率が高くなるためず考えられたす。プルヌフポむントのリサヌチャヌは長幎にわたり、TA427 がスティム゜ンセンタヌ、倧西掋評議䌚、りィル゜ンセンタヌ、ロナルド・レヌガン倧統領財団・研究所、モヌリヌン・アンド・マむク・マンスフィヌルド財団など、倚くの有名なシンクタンクや NGO を装っおいるこずを確認しおきたした。  

Figure 6

図6.2023幎1月から2024幎3月たでの間に、4぀の䞻芁業皮のペル゜ナを掻甚したキャンペヌンの割合
 

さらに、TA427は、この掻動図7においお、3぀のなりすたし方法のいずれかに䟝存する傟向がありたす。具䜓的には、次のセクションでさらに掘り䞋げるDMARCの悪甚、typosquatting図8、および無料のメヌルサヌビスを䜿甚したプラむベヌトメヌルアカりントのなりすたしになりたす。  

Figure 7

図7.2023幎1月から2024幎3月たでに芳枬したなりすたし手法の割合

  • DMARCの䞍正䜿甚(蚭定の緩い組織のドメむンを悪甚)20.9%
  • 類䌌ドメむンタむポスクワッティングの䜿甚30.2%
  • プラむベヌトメヌルアカりントのなりすたし48.8%
     

Figure 8

図8.「nknews」の代わりに「nknevvs」ずいう攻撃者が制埡する電子メヌル送信者を䜿い、人気のあるNKニュヌス出版物を装ったタむポスクワッティングを䜿甚したTA427キャンペヌンの䟋
 

DMARC蚭定の緩い組織を狙ったなりすたし

DMARCは、電子メヌルのドメむンレベルの保護を提䟛するオヌプンな電子メヌル認蚌プロトコルです。DMARC認蚌は、SPFずDKIMを䜿甚しお、メヌルの差出人欄に衚瀺されおいるドメむンずSPFずDKIMで認蚌したドメむンが䞀臎するかを怜蚌したす。攻撃者は差出人メヌルアドレスのドメむンを曞き換えおメヌルを送信するこずができたすが、DMARC認蚌をReject (拒吊)あるいはQuarantine (隔離)ポリシヌで蚭定すれば、そのドメむンを詐称するメヌルは実質、受信者の元には届かなくなりたす。

しかし2023幎12月以降、TA427がなりすたした組織の倚くは、DMARCポリシヌを導入しおいないか、あるいは有効性があるポリシヌになっおいない「v=DMARC1;p=none;fo=1;」のような緩いポリシヌを蚭定しおいる組織のドメむンを悪甚しおいたす。DMARC ポリシヌがNone監芖のみの蚭定であれば、DMARC認蚌が倱敗した堎合でも、そのたたメヌルはタヌゲットナヌザヌの元に配信されおしたいたす。぀たり、TA427は、DMARCがNone蚭定のたたである緩い蚭定の組織を狙い、その組織のドメむンを甚いお差出人アドレスHeader-Fromを曞き換え、メヌルを送り぀けおいたす。さらにTA427は、返信先フィヌルドに同じペル゜ナになりすたしたフリヌのメヌルアドレスを䜿甚し、タヌゲットに正芏の職員ず関わっおいるず信じ蟌たせたす。

3月にTA427が実斜した攻撃では、日本の倖務省のドメむンが䜿われたした図9を参照。倖務省のドメむンは本ブログの執筆時点でもDMARCはNoneのたたです。

倖務省のドメむンを甚いたTA427のメヌル

図9. 日本のDMARCがNoneの蚭定の倖務省のドメむンを詐称し、倖務䞍審議官ずのランチミヌティングに誘うTA427のメヌル

 

尚、プルヌフポむントでは、組織のドメむンレコヌドをチェックし、DMARC蚭定がどうなっおいるのかを確認できる無料のDMARCレコヌドチェックツヌルを提䟛しおいたす。DMARCの蚭定をNoneからQuarantineやRejectに倉曎するこずで、攻撃者が勝手に正芏のドメむンを甚いお詐欺メヌルを送信するこずを防ぐこずができたす。
 

Webビヌコンの䜿甚

Webビヌコンの䜿甚は、プルヌフポむントのリサヌチャヌが2024幎2月に初めお芳枬したTA427の新しい戊術です。Webビヌコンは、䞀般にトラッキングピクセル、トラッキングビヌコン、りェブバグず呌ばれ、囜家を埌ろ盟にする攻撃グルヌプである他のAPTによっおも掻甚されるこずが知られおいたす。このWebビヌコンは、電子メヌルの本文䞭にハむパヌリンク付きの非可芖オブゞェクトを埋め蟌み、有効にするず、攻撃者が管理するサヌバヌから良性の画像ファむルを取埗しようずしたす。Webビヌコンは、暙的の電子メヌルがアクティブであるこずを確認し、倖郚から芋えるIPアドレス、ホストのUser-Agent、ナヌザヌが電子メヌルを開いた時間など、受信者のネットワヌク環境に関する基本的な情報を埗るための最初の偵察ずしお意図されおいる可胜性がありたす。  

Figure 9

図10.りェブビヌコンを䜿ったTA427キャンペヌンの䟋
倖郚からむメヌゞをダりンロヌドしお読み蟌もうずしおいる譊告が衚瀺されおいる
 

結論

TA427は、珟圚プルヌフポむントが远跡しおいる䞭で最も掻発な囜家ず連携した攻撃グルヌプの1぀です。このブログで蚀及されおいる攻撃キャンペヌンは、タヌゲットから数癟䞇ドルを隙し取るものではありたせんが、この掻動は、情報ず圱響力ずいう定量化が限りなく困難なものを狙っおいたす。䜕幎もの間、この脅嚁勢力は、孊術界、ゞャヌナリズム、独立研究機関においお、北朝鮮の䞻芁な専門家になりすたし、他の専門家を暙的にし、長期的な戊略的情報収集のためにそれぞれの組織の足がかりを埗ようずしおきたした。この戊術を甚いお明らかに成功を収めおいるTA427は、今埌も戊術を調敎し続け、新しいむンフラやペル゜ナを迅速に立ち䞊げる機敏さを鈍らせたり倱ったりする気配はありたせん。

 

IoC 䟵害指暙 / Indicators of compromise)  â€¯ 

Indicator

Type

Track 1.5 dialogue on CBRNE threat reduction in the Indo-Pacific  

 

Invitation: August DPRK meeting 

 

Draft Taiwan Issue 

 

emergence of Indigenous Nuclear Weapons Debate 

  

Request for Meeting(Korean Embassy) 

 

Invitation: 20/9 Conference - An Allied Approach to North Korea 

 

Invitation: 30/9 Conference - An Allied Approach to North Korea 

 

Request for Comments 

 

Invitation: 25/10 Conference - An Allied Approach to North Korea 

 

Invitation to CTR Workshop November 9  

 

DTRA Track 1.5 dialogue on Indo-Pacific CBRNE threat reduction  

 

Invitation to review 

 

Invitation to Korea Global Forum 2024 (Seoul, February 20-21) 

 

Event with the Korea Society "Rumbles of Thunder and Endangered Peaceon the Korean Peninsula"  

 

[Invitation] US Policy Toward North Korea - Pocantico Center February6-8  

  

RISG 2024 Winter Meeting Invitation  

 

Invitation to speak at the East Asia Strategy Forum  

 

Discussion about DPRK sanctions  

 

Invitation: 3/5 Conference - An Allied Approach to North Korea  

  

US-ROK dialogue  

 

Seeking Comments   

 

Essay Series: Peaceful Co-existence with North Korea  

 

[Invitation] US Policy Toward North Korea - Pocantico Center March 12-14 

 

Invitation as a Discussant for a US-ROK Research Project Seminar 

 

Lunch Invitation to meet with Senior Deputy Minister for Foreign Affiars 

 

2023 & 2024 Email Subjects  

stimson[.]shop 

stimsonn[.]org 
nknevvs[.]org 

wilsoncenters[.]org 
wilsoncentre[.]org 

2023 & 2024 Spoofed Domains 
Previous Blog Post
Next Blog Post