Elasticsearchは11月1日(米国時間)、「Elastic catches DPRK passing out KANDYKORN — Elastic Security Labs」において、北朝鮮に関係するとされるサイバー攻撃グループ「Lazarus(別名:APT38)」がmacOSを利用する暗号資産交換プラットフォームのブロックチェーンエンジニアを標的として攻撃を試みたと報じた。

  • Elastic catches DPRK passing out KANDYKORN — Elastic Security Labs

    Elastic catches DPRK passing out KANDYKORN — Elastic Security Labs

Elasticsearchによると、攻撃者はブロックチェーンエンジニアリングコミュニティのメンバーが利用するDiscardの公開サーバ上で、悪意のあるPythonアプリケーションを配布したという。このPythonアプリケーションは暗号資産アビートラージボット(交換所のレートの差から利益を得る自動化ツール)を装った悪意のあるソフトウェアであり、攻撃者はソーシャルエンジニアリングを駆使してコミュニティのエンジニアをさましてソフトウェアをダウンロードさせたという。だまされたエンジニアがこのソフトウェアを実行すると、5つの段階を踏んで最終的にマルウェア「KANDYKORN」に感染する。

  • マルウェア「KANDYKORN」実行までの流れ - 提供:Elasticsearch

    マルウェア「KANDYKORN」実行までの流れ 引用:Elasticsearch

この5つの段階の途中では、「SUGARLOADER」と「HLOADER」と呼ばれる2つのマルウェアローダが実行される。このうちHLOADERは正規のDiscardバイナリを差し替えて永続化する機能がある。Discardは多くのユーザーがシステム起動時のアプリケーションとするため、永続化を実現するための魅力的な乗っ取り対象とされる。HLOADERにより侵害された場合、Discardを起動しようとするとHLOADERが実行され、その後、正規のDiscardとSUGARLOADERが実行される。SUGARLOADERはコマンド&コントロール(C2: Command and Control)サーバからKANDYKORNをダウンロードし、メモリ上で直接実行する。

Elasticsearchはコマンド&コントロールサーバからKANDYKORNを取得することに成功し、これを分析したとしている。分析によるとKANDYKORNはC2サーバからのコマンド入力を待機し、データ窃取に必要な機能を攻撃者に提供するメモリ常駐タイプの遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)とされる。

Elasticsearchはこの脅威からシステムを保護するために、マルウェアを検出するためのYaraルールや、分析で観測されたマルウェアのハッシュ値とC2サーバの情報を公開している。Discardを利用しているユーザーやセキュリティ企業は、必要に応じてこれら情報を活用することが望まれている。