Microsoftの脅威インテリジェントチームであるMSTIC(Microsoft Threat Intelligence Center)はこのほど、Microsoft Security Blog「ZINC weaponizing open-source software」において、「ZINC」と名付けられた犯罪グループによるサイバー攻撃キャンペーンについてレポートした。2022年6月頃から観測されているこの攻撃キャンペーンにおいて、さまざまなオープンソースソフトウェア(OSS)を改変して武器化し、攻撃に悪用されていることが明らかになったという。
ZINCは北朝鮮政府の支援を受けているとされているサイバー攻撃グループ。2009年から活動し、洗練された攻撃手法を用いる脅威アクターとして知られている。その主な活動目的は、サイバースパイ活動、個人および企業の機密情報の取得、金銭的利益の獲得、および企業ネットワークの破壊などであり、特定の標的に狙いを定めて攻撃するスピアフィッシングが主要な戦術となっている。
-
ZINCによる攻撃キャンペーンのフロー図 引用:Microsoft Security Blog
MSTICによって報告されている今回の攻撃キャンペーンでは、従来と同様にソーシャルエンジニアリングによってLinkedInで標的との接点を持った上で、悪意のあるペイロードの配信手段としてWhatsAppを利用することが確認されている。最終的に利用されるペイロードは「ZetaNile」と呼ばれるマルウェアであり、ZetaNileを配信するためにさまざまなオープンソースソフトウェアを武器化して利用していることも確認されたという。
武器化されたソフトウェアとしては、以下が挙げられている。
- PuTTY
- KiTTY
- TightVNC
- Sumatra PDF Reader
- muPDF/Subliminal Recording Installer
MSTICによれば、ZINCは長年にわたって武器化されたPuTTYを好んで利用してきたが、最近になってPuTTYの派生ソフトウェアであるKiTTYも武器化して利用するようになったという。また、2022年9月以降には武器化されたTightVNC Viewerの使用も確認されたとのこと。これらのソフトウェアは、侵害されたデバイスに対するリモート接続を確立し、最終的なペイロードをインストールするために利用される
Sumatra PDF ReaderとmuPDF/Subliminal Recording Installerは、実行されると悪意のある実行ファイルをロードしてZetaNileをインストールする。Sumatra PDF Readerは完全に機能するPDFリーダーで、偽のPDFファイルを読むことでバックドアを設定する。一方muPDF/Subliminal Recording Installerは、PDFファイルを読み込むことなく、単体でバックドアを設定できるという。
MSTICの記事には、これらの武器化されたソフトウェアが具体的にどのように機能するのかや、調査中に確認された 侵害の痕跡(IOC)などの情報がまとめられている。
