主なポイント
- TA444は、北朝鮮が支援していると考えられるAPTグループであり、2022年に多数の感染手法をテストし、さまざまな成功を収めています。
- TA444は、主に金銭的な動機付けに基づいて業務を遂行しており、その感染チェーンはしばしばサイバー犯罪脅威全体の縮図とも言えるもので、国家に属する攻撃グループの中では特徴的な存在です。
- TA444は、少なくとも2017年から暗号通貨を標的とする現在の形態で活動していますが、2022年の後期には、スタートアップ企業のようなメンタリティを発揮しました。
概要
技術系スタートアップの世界では、著名人も有名人も同様に、迅速なバージョンアップ、現場で即座におこなわれる製品テストや、失敗を繰り返すことなどの価値を自慢します。しかし、北朝鮮国家に支援されたAPT(Advanced Persistent Threat: 高度標的型攻撃グループ)であるTA444も、この技術系スタートアップにおける成功法則に従っていることが分かりました。TA444は、APT38、Bluenoroff、BlackAlicanto、Stardust Chollima、COPERNICIUMとして報告された活動と重複しており、おそらく北朝鮮政府に収益をもたらすことを任務としています。この攻撃グループのタスクは、歴史的に銀行を標的とし、最終的に「隠者王国 (the Hermit Kingdom)」(17〜19世紀の朝鮮に付けられたあだ名)または海外のハンドラーに現金を流すことを目的としています。最近では、TA444は技術系スタートアップ企業と同じように暗号通貨に目を向けています。TA444のオフィスに卓球台やIPAのビールサーバーがあるかどうかはわかりませんが、TA444はドルへの傾倒と研磨という点でスタートアップ文化を反映していると言えるでしょう。
ファイルタイプのばらつきによる失敗
TA444がブロックチェーンと暗号資産に興味を持ち始めた頃、TA444は、LNK指向の配信チェーンとリモートテンプレートを使用したドキュメントから始まる攻撃チェーンという、主に2つの初期アクセス手段を有していました。これらの攻撃キャンペーンは、通常、DangerousPassword、CryptoCore または SnatchCryptoと呼ばれていました。2022年、TA444は、両方の手法を引き続き使用しましたが、初期アクセスのために他のファイルタイプにも挑戦していました。以前のキャンペーンでは、マクロに大きく依存していなかったにもかかわらず、TA444は、2022年の夏と秋のサイバー犯罪の状況を反映し、ペイロードをドロップするためのファイルとして、新しい追加のファイルタイプを見つけようとしているように見えました。
攻撃グループが新しい攻撃アイデアを生み出すためにハッカソンを行ったかどうかは不明ですが、おそらく攻撃グループ内では以下のような会話があったのではないでしょうか?(注:ドラマ風会話にしています)
- MSIのインストーラファイル?数種類、試してみて、何が引っかかるか見てみよう!
- 仮想ハードディスク? TA580 がBumblebeeをドロップするのに仮想ハードディスクを使ったのに、我々はその感染手法をまだ手に入れていないな。
- ISOがMoTW (Mark of the Web)をバイパスする? マーケットがそれを望むなら、我々も実装しよう!
- コンパイルされたHTML? これはTA406の手法か?我々も試してみよう。
- 好きなだけ実験してもいいけど、OKR(目標管理)を達成するためには、CageyChameleonとAstraeusのノルマを守らなければ。。
多岐にわたる配信方法は驚くべき事実ですが、もう一つ驚くべきことは、配信チェーンの末端に一貫したペイロードがないことでした。他の金融関連の攻撃グループが配信方法をテストする場合、従来のペイロードをロードする傾向がありますが、TA444の場合はそうではありません。このことは、TA444の運用者の傍らには、マルウェアを開発するグループも組み込まれている、あるいは少なくとも専念していることを示唆しています。
攻撃グループのGo-to-Market手法
TA444は、被害者が悪意のあるリンクをクリックするように仕向けるため、新たなARR(年間継続収入)を得る可能性を高める完全なマーケティング戦略を持っています。それは、ターゲットが興味を持ったり、必要性を感じたりするようなルアーコンテンツを作ることから始まります。暗号通貨ブロックチェーンの分析、一流企業の求人情報、給与の調整など、さまざまなコンテンツがあります。
図1. 給与調整をテーマとしたTA444のメールのおとり例
TA444は、SendInBlueやSendGridなどのメールマーケティングツールを悪用して、ターゲットとなるユーザーに働きかけています。これらのメールは、クラウドホスティングされたファイルへのリダイレクトとして機能するか、あるいは被害者を直接TA444のインフラに接続させます。知らない人物からのリンクを開くことに抵抗を感じるユーザーは多くいますが、知り合いから送られたと思われるメールであればこの躊躇を、ある程度取り除くことができます。
技術や暗号通貨分野の他の事業体と同様に、TA444の組織内の人物はソーシャルメディアをモニタリングしています。この攻撃グループは、マルウェアへのリンクを配信する前に、LinkedInを使用して被害者と関わり続けており、これがTA444の実践において非常に強力な要素となっています。プルーフポイントは、このグループが英語、スペイン語、ポーランド語、日本語を十分に理解していることを確認しています。
製品内での検証
2022年12月初旬、プルーフポイントのリサーチャーは、比較的基本的な認証情報を窃取するクレデンシャル ハーベスティング キャンペーンを確認しましたが、それが通常のTA444の攻撃運用から大きく逸脱していることを確認しました。TA444のC2ドメインは、米国とカナダのさまざまなターゲットに、タイポスクワッティングのOneDriveのフィッシングメールを送信しました。このフィッシングメールは、SendGridのURLをクリックさせ、そこから認証情報の取得ページにリダイレクトさせるというものでした。TA444のこれまでのターゲットとメッセージの量に偏差があったため、プルーフポイントは活動を理解するために、この攻撃キャンペーンを徹底的に分析しました。その結果、TA444に関するプルーフポイントのこれまでの仮説を覆すことになりました。このスパムの波だけで、2022年にプルーフポイントのデータで観測したTA444のメールメッセージの総量がほぼ2倍であり、TA444の目的の変化の可能性を理解することができました。
FromヘッダーにはAdminという用語とターゲットドメイン名が使われていますが、すべて同じenvelope-Fromメールアドレス(admin[@]sharedrive[.]ink)と件名(小文字のLで綴ったInvoice)が使われています。
図2. 以前のテーマとターゲットとは異なるTA444フィッシングメール
SendGridのURLは、ターゲットをsuperiorexhbits[.]comのドメインにリダイレクトするために使用され、ロゴレンダリングサービスClearBitを介して被害者のアイコン画像をロードするなどの一般的なフィッシング手法が使用されています。このような広範なクレデンシャル ハーベスティング活動は、通常マルウェアを直接展開する通常のTA444キャンペーンとは一線を画しています。実際、この同じドメインは、同日、Cur1Agentを含むTA444のVHD(仮想ハードディスク)攻撃を配信していることが確認されています。
プルーフポイントは、TA444インフラの独占性に基づき、この攻撃キャンペーンを中程度から高い信頼性でTA444の攻撃活動であるとアトリビューションしています。そのIPでホストされている他のドメインは、以前のTA444のタイポスクワットのドメインと一致しています。また、このメールには有効なDMARCおよびSPFレコードがあり、送信者がそのドメインを管理していることがわかります。プルーフポイントは、TA444のサーバーが他の攻撃グループによって侵害され、フィッシングリンクを送信した可能性を排除することはできません。また、TA444は、Andarielなどの他の北朝鮮の攻撃グループと同様に、独自の水面下の活動を開始している可能性もあります。この場合、ツールやインフラが再利用され、これまでの主要なターゲットであった暗号通貨や金融機関から標的が逸脱し続けることが予想されます。
土台に文化がある
TA444は新たな生産ラインを実験的に導入していますが、その中核となるファミリーは依然として感染の主役を担っています。CageyChameleon(別名CabbageRAT)ファミリは、その機能を拡張しましたが、依然として被害者プロファイリングの枠組みとして動作し、コマンド&コントロールサーバからロードされた後続のツールを起動する可能性を設定しながら、実行中のプロセスおよびホスト情報を流出させるものです。実行を開始するために使用されるルアーLNKは、依然としてPassword.txt.lnkと題されることが多いことが分かっています。
図3.CageyChameleonのデータ流出を復号化したもの
同様に、TA444は、インフラストラクチャの展開や文書の内容もそのままで、第2段階のマクロを含むファイルにルアーのアイコンを効果的に再利用し、なりすましの実体から直接コンテンツを拝借しています。第一段階のリモートテンプレートファイルは、第二段階のマクロ(ProofpointではAstraeusと追跡)をダウンロードするだけでなく、PWCとKasperskyが指摘するように、第一段階には難読化されたCardinalバックドアが含まれるように適応されています。
図 4. TA444 第一段階ルアーの文書テーマ
セキュリティリサ-チャーは、TA444が、msoRAT、Cardinal (default.rdp)、 Rantankba suite、CHEESETRAY、DYEPACKといった、その歴史の中で印象深い一連のポストエクスプロイトバックドアを展開し、さらにパッシブバックドア、仮想リスナー、ブラウザ拡張機能で窃盗を促進させることを確認しています。
アトリビューション(攻撃グループの紐づけ)
プルーフポイントは、マルウェアの系統、ターゲットユーザーを騙すことを意図した行動ヒューリスティックや第一段階のツールの特徴、特徴的なインフラの使用、金融事業体を標的とすることなどの要素に基づいてTA444活動をクラスタリングしています。2016年のバングラデシュ銀行での金銭窃取や暗号資産事業体への攻撃など、歴史的なTA444の活動は、米国によって北朝鮮政府に関連付けられたものです。
米国財務省は、TA444の運営者がさまざまなブリッジや取引所の事業体に侵入して盗んだ1億2千万ドル以上の暗号通貨を洗浄できるようにしたとして、2つのコインミックスサービス、Tornado CashとBlenderIOに対して制裁を課しました。米国連邦捜査局は、主要な暗号通貨ブリッジへの攻撃を、TA444と大きく重なるグループであるAPT38の犯行であるとアトリビューションし、資金は後にBlenderIOでミキシングされたと述べています。このアトリビューションは、TA444がいかに暗号通貨のエコシステムに依存して、資金を盗み、それを洗浄する手段を作り、現金化を行っているかを示しています。最近のTA444の活動は、敵対者が侵入から利益を得続けるためにその方法を適応させることを望んでいることを強調しており、新しいサービスは、たとえ意図的でないとしても、その努力を支援するようなものです。
結論
その広範なキャンペーンやクラスタリングの容易さを揶揄することもありますが、TA444は、被害者から数億ドルを詐取する意思と能力を持つ、聡明で有能な敵対者であると言えます。TA444と関連クラスターは、2021年に約4億ドル相当の暗号通貨と関連資産を盗んだと評価されています。2022年には、5億ドル以上の価値のある1回の強盗で2021年の犯行の価値を上回り、2022年中に10億ドル以上を集めました。北朝鮮は、他の暗号通貨愛好家と同様に、暗号通貨の価値下落を乗り越えてきましたが、暗号通貨を政権に使用可能な資金を提供するための手段として利用する取り組みに引き続き取り組んでいます。
ET シグネチャ
2043279- ET MALWARE TA444 Related Domain in DNS Lookup (updatezone .org)
2043280- ET MALWARE TA444 Related Domain in DNS Lookup (autoprotect .com .de)
2043281- ET MALWARE TA444 Related Domain in DNS Lookup (autoprotect .gb .net)
2043282- ET MALWARE TA444 Related Domain in DNS Lookup (azure-security .online)
2043283- ET MALWARE TA444 Related Domain in DNS Lookup (azure-security .site)
2043284- ET MALWARE TA444 Related Domain in DNS Lookup (hoststudio .org)
2043285- ET MALWARE TA444 Related Domain in DNS Lookup (thecloudnet .org)
2037802- ET MALWARE TA444 Related Domain in DNS Lookup (documentworkspace .io)
2037803- ET MALWARE TA444 Related Domain in DNS Lookup (fclouddown .co)
2037804- ET MALWARE TA444 Related Domain in DNS Lookup (googlesheet .info)
2037883- ET MALWARE TA444 Related Domain in DNS Lookup (inst .shconstmarket .com)
2037884- ET MALWARE TA444 Related Domain in DNS Lookup (web .shconstmarket .com)
2037885- ET MALWARE TA444 Related Domain in DNS Lookup (wordonline .cloud)
2038542- ET MALWARE Observed DNS Query to TA444 Domain (cooporatestock .com)
2038543- ET MALWARE Observed DNS Query to TA444 Domain (finxiio .com)
2038544- ET MALWARE Observed DNS Query to TA444 Domain (1drvmicrosoft .com)
2038546- ET MALWARE Observed DNS Query to TA444 Domain (ledger-cloud .com)
2038547- ET MALWARE Observed DNS Query to TA444 Domain (globiscapital .co)
2038548- ET MALWARE Observed DNS Query to TA444 Domain (wpsonline .co)
2038709- ET MALWARE Observed DNS Query to TA444 Domain (wps .wpsonline .co)
2038710- ET MALWARE Observed DNS Query to TA444 Domain (documentshare .info)
2038711- ET MALWARE Observed DNS Query to TA444 Domain (unchained-capital .co)
2038712- ET MALWARE Observed DNS Query to TA444 Domain (cloud .globiscapital .co)
2038713- ET MALWARE Observed DNS Query to TA444 Domain (shconstmarket .com)
2038714- ET MALWARE Observed DNS Query to TA444 Domain (stablehouses .info)
2038715- ET MALWARE Observed DNS Query to TA444 Domain (edit .wpsonline .co)
2038716- ET MALWARE Observed DNS Query to TA444 Domain (bankofamerica .us .org)
2038717- ET MALWARE Observed DNS Query to TA444 Domain (salt1ending .com)
2038718- ET MALWARE Observed DNS Query to TA444 Domain (cloud .jbic .us)
2038720- ET MALWARE Observed DNS Query to TA444 Domain (share .anobaka .info)
2038721- ET MALWARE Observed DNS Query to TA444 Domain (vote .anobaka .info)
2038722- ET MALWARE Observed DNS Query to TA444 Domain (cloud .wpic .ink)
2038762- ET MALWARE Observed DNS Query to TA444 Domain (careersbankofamerica .us)
2038763- ET MALWARE Observed DNS Query to TA444 Domain (mufg .tokyo)
2038764- ET MALWARE Observed DNS Query to TA444 Domain (azure-protect .online)
2038785- ET MALWARE Observed DNS Query to TA444 Domain (azure-protection .cloud)
2038786- ET MALWARE Observed DNS Query to TA444 Domain (bankofamerica .nyc)
2038787- ET MALWARE Observed TA444 Domain (bankofamerica .nyc in TLS SNI)
2038788- ET MALWARE Observed TA444 Domain (azure-protection .cloud in TLS SNI)
2038789- ET MALWARE Observed TA444 Domain (careersbankofamerica .us in TLS SNI)
2038790- ET MALWARE Observed TA444 Domain (azure-protect .online in TLS SNI)
2038791- ET MALWARE Observed TA444 Domain (mufg .tokyo in TLS SNI)
2038845- ET MALWARE Observed DNS Query to TA444 Domain (cloud .tptf .ltd)
2038846- ET MALWARE Observed DNS Query to TA444 Domain (careers .bankofamerica .nyc)
2038847- ET MALWARE Observed DNS Query to TA444 Domain (bankofamerica .offerings .cloud)
2038848- ET MALWARE Observed DNS Query to TA444 Domain (bankofamerica .tel)
2038849- ET MALWARE Observed DNS Query to TA444 Domain (cloud .mufg .uk)
2038850- ET MALWARE Observed TA444 Domain (cloud .tptf .ltd in TLS SNI)
2038851- ET MALWARE Observed TA444 Domain (bankofamerica .tel in TLS SNI)
2038852- ET MALWARE Observed TA444 Domain (cloud .mufg .uk in TLS SNI)
2038853- ET MALWARE Observed TA444 Domain (bankofamerica .offerings .cloud in TLS SNI)
2038854- ET MALWARE Observed TA444 Domain (careers .bankofamerica .nyc in TLS SNI)
2038919- ET MALWARE Observed DNS Query to TA444 Domain (docuprivacy .com)
2038920- ET MALWARE Observed DNS Query to TA444 Domain (share .anobaka .info)
2038921- ET MALWARE Observed DNS Query to TA444 Domain (privacysign .org)
2038922- ET MALWARE Observed DNS Query to TA444 Domain (ms .onlineshares .cloud)
2038923- ET MALWARE Observed DNS Query to TA444 Domain (team .msteam .biz)
2038924- ET MALWARE Observed DNS Query to TA444 Domain (mizuhogroup .us)
2038925- ET MALWARE Observed DNS Query to TA444 Domain (docs .azurehosting .co)
2038926- ET MALWARE Observed DNS Query to TA444 Domain (tptf .fund)
2038927- ET MALWARE Observed DNS Query to TA444 Domain (perseus .bond)
2038928- ET MALWARE Observed DNS Query to TA444 Domain (smbcgroup .us)
2038929- ET MALWARE Observed DNS Query to TA444 Domain (tptf .cloud)
2038936- ET MALWARE Observed TA444 Domain (tptf .fund in TLS SNI)
2038937- ET MALWARE Observed TA444 Domain (docs .azurehosting .co in TLS SNI)
2038938- ET MALWARE Observed TA444 Domain (team .msteam .biz in TLS SNI)
2038939- ET MALWARE Observed TA444 Domain (share .anobaka .info in TLS SNI)
2038940- ET MALWARE Observed TA444 Domain (smbcgroup .us in TLS SNI)
2038941- ET MALWARE Observed TA444 Domain (perseus .bond in TLS SNI)
2038942- ET MALWARE Observed TA444 Domain (docuprivacy .com in TLS SNI)
2038943- ET MALWARE Observed TA444 Domain (privacysign .org in TLS SNI)
2038944- ET MALWARE Observed TA444 Domain (mizuhogroup .us in TLS SNI)
2038945- ET MALWARE Observed TA444 Domain (ms .onlineshares .cloud in TLS SNI)
2038946- ET MALWARE Observed TA444 Domain (tptf .cloud in TLS SNI)
2038987- ET MALWARE TA444 Related Domain in DNS Lookup (onlinecloud .cloud)
2039041- ET MALWARE TA444 Domain in DNS Lookup (mufg .ink)
2039042- ET MALWARE TA444 Domain in DNS Lookup(mufg .us .org)
2039043- ET MALWARE Observed TA444 Domain (mufg .ink in TLS SNI)
2039044- ET MALWARE Observed TA444 Domain (mufg .us .org in TLS SNI)
2039808- ET MALWARE TA444 Domain in DNS Lookup (gdocshare .one)
2039809- ET MALWARE Observed TA444 Domain (gdocshare .one in TLS SNI)
2039823- ET MALWARE TA444 Domain in DNS Lookup (sharedrive .ink)
2039824- ET MALWARE TA444 Domain in DNS Lookup (dnx .capital)
2039825- ET MALWARE Observed TA444 Domain (sharedrive .ink in TLS SNI)
2039826- ET MALWARE Observed TA444 Domain (dnx .capital in TLS SNI)