北朝鮮系のグループによる日本の邦銀の人材募集と見せかけた攻撃

AlienVault経由で確認。Red RainDrop というグループの分析結果。サンプルが手に入ったので追試してみた。実施日は2022/12/3(土)日本時間の9時くらい。Windows のパッチは最新化し、Defender for Endpoint を可視化用に導入。

VHD拡張子のファイル(マウントできる仮想ハードドライブ)が最初の攻撃ベクターとして配信される。このVHDファイルをマウントしたところ、EDRが反応して「COPERNICIUM」(マイクロソフトによると北朝鮮系のグループで、主に金融機関をターゲットとしている、とのこと)のアクティビティ検知のアラートが発生。

VHDファイルマウント後に見えるようになるPEファイル(実行ファイル exe拡張子)を実行すると下流で二段階目の攻撃プログラムが稼働し、人材募集に見せかけたファイルが表示される。

攻撃対象となっている人

金融機関(銀行など)の人材募集に関心のある人がターゲットとなっていると思われる。人材募集の詳細を読んでみることでどんな相手(職種)を狙っているのかも見えそう。英語で書かれているのでターゲットは英語を読み書きする人になるはず。

参考文献(一次情報群)

  • 主要な分析レポート
    • https://mp.weixin.qq.com/s/nnLqUBPX8xZ3hCr5u-iSjQ
  • Twitterでの最初の報告
    • https://twitter.com/RedDrip7/status/1595365451495706624
  • 検体
    • VHDファイル
      • hxxps://bazaar.abuse.ch/sample/826f2a2a25f7b7d42f54d18a99f6721f855ba903db7b125d7dea63d0e4e6df64/

コメント

タイトルとURLをコピーしました