Microsoftは5月28日(米国時間)、「Moonstone Sleet emerges as new North Korean threat actor with new bag of tricks|Microsoft Security Blog」において、北朝鮮のサイバー攻撃者「Moonstone Sleet (旧名:Storm-1789)」を特定したと報じた。この攻撃者は他の北朝鮮の攻撃者が使用する実証済みの手法と、企業を標的とする独自の攻撃手法を組み合わせて使用するという。
Moonstone Sleet」の正体
「Moonstone Sleet」は、Microsoftが北朝鮮と関係していると評価した悪意のある活動の背後にいる脅威アクターとされる。Microsoftが初めてMoonstone Sleetの活動を検出したとき、この脅威アクターは別の脅威アクター「Diamond Sleet」のマルウェアコードを広範囲に再利用し、トロイの木馬化されたソフトウェアを配布するなど、Diamond Sleetの手法を使用したという。
その後、Moonstone Sleetは独自のインフラストラクチャと攻撃手法に移行し、Diamond Sleetと同時に異なる手法で活動していることが観察されたことから、Diamond Sleetとは異なる独立した組織と特定された。
Microsoftによると、Moonstone Sleetの主な活動は経済的利益およびスパイ活動とされる。カスタムのランサムウェアの展開から、悪意のあるゲームの作成、偽会社の設立、情報技術者の利用まで多岐にわたるという。
Moonstone Sleetの戦術、技術、手順(TTPs)
MicrosoftはこれまでにMoonstone Sleetのさまざまな戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を観察したという。それら概要は次のとおり。
トロイの木馬化されたPuTTY
2023年8月上旬、Microsoftはリモートログオンクライアント「PuTTY」のトロイの木馬バージョンをLinkedInやTelegramなどを介して配布していることを観察した。脅威アクターは多くの場合、このPuTTYとIPアドレス、パスワードを含む「url.txt」を圧縮したZIPファイルを配布する。
被害者が提供されたIPアドレスとパスワードを入力してPuTTYを使用した場合、悪意のあるペイロードが展開される。この手法はDiamond Sleetが使用する手法と同じとされる。
悪意のあるnpmパッケージ
Microsoftは脅威アクターが悪意のあるnpmパッケージを使用するプロジェクトを、LinkedInのようなプラットフォームを通じて配信していることを確認した。また、脅威アクターは偽会社の技術スキル評価を装って悪意のあるnpmパッケージを呼び出すZIPファイルを送信したこともわかっている。
悪意のあるnpmパッケージがロードされると、脅威アクターの管理するサーバから悪意のあるペイロードがダウンロードされる。MicrosoftはGitHubと協力し、この攻撃に関連したリポジトリを削除している。
悪意のある戦車ゲームを配布
2024年2月以降、脅威アクターはDeTankWar(別名:DeFiTankWar、DeTankZone、TankWarsZone)と呼ばれる悪意のある戦車ゲームを配布した。DeTankWarはユーザー名、パスワード、招待コードによるプレーヤー登録が必要なゲームで、資金に余裕のないゲーム開発会社を装い、投資会社や別の開発企業に製品サンプルを提供する形で配布した。
ランサムウェアを展開
2024年4月、脅威アクターは「悪意のある戦車ゲーム」で侵害した企業に対し、「FakePenny」と名付けたランサムウェアの亜種を展開した。この脅威アクターがランサムウェアを展開したのはこれが初めてとされる。
この攻撃は経済的利益が目的とみられ、Microsoftが観察した例では660万ドル相当のビットコインが要求されたという。これは、これまでの北朝鮮のランサムウェア身代金要求額より高いとされる。
対策
MicrosoftはMoonstone Sleetによる攻撃を防止するため、次のような緩和策の実施を推奨している。
- Microsoft Defender XDRを使用して人間が操作するランサムウェア攻撃を検出する
- 「制御されたフォルダーアクセス」を有効にする
- Microsoft Defender for Endpointにて「改ざん防止機能」が有効になっていることを確認する
- Microsoft Defender for Endpointにて「ネットワーク保護」を有効にする
- 「オンプレミスの資格情報窃取の概要」に記載されている資格情報の強化に関する推奨事項に従い、LSASSアクセスなどの一般的な資格情報窃取の手法を防止する
- 「ブロックモードでのエンドポイントの検出と応答」を実行すると、Microsoft以外のアンチウイルスソフトウェアが動作しない場合や、Microsoft Defenderウイルス対策がパッシブモードで動作している場合でも、悪意のあるアーティファクトをブロックできる
- 「自動調査」を完全自動モードに設定すると、Microsoft Defender for Endpointがアラートに対して即座にアクションを実行して侵害を解決できるようになる
- Microsoft Defenderウイルス対策またはアンチウイルスソフトウェアと同等の「事前ブロック」を有効にして、急速に進化する攻撃者のツールやテクニックに対処する
MicrosoftはMicrosoft Defender XDRおよびMicrosoft Sentinelの顧客に対し追加の対策を提示している。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。