ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • Research
  • 脅威分析レポート
北朝鮮が支援するグループ「Scarcruft」に関するROKRAT分析レポート
2024.11.28

S2W脅威インテリジェンスセンターは、北朝鮮が支援する脅威グループ(以下APTグループ)「Scarcruft」に関する分析レポートを発行しました。

「Scarcruft」はS2Wがリリースした「金融セキュリティレポート4章」にある北朝鮮、中国、ロシアが支援する16のAPTグループのプロファイリングに含まれる脅威グループのひとつで、当該グループが使用するマルウェアについて把握できる難易度の高い脅威インテリジェンスレポートです。


✅ レポートタイトル:


「Scarcruft」のROKRATマルウェアクラスターの紹介



✅ レポートの要約:


- 北朝鮮のAPTグループ「Scarcruft」は2016年に初めて活動を開始したと言われており、「APT37」、「Red Eyes」、「Reaper」、「Group123」などと呼ばれています。

-「Scarcruft」の登場初期には、主に韓国を対象とした攻撃が目立ち、韓国内の脱北者、北朝鮮に関する市民団体、メディア、関連政府機関が攻撃対象に含まれていました。

- 2023年現在まで活発に攻撃を続けている「Scarcruft」は最近、日本、ベトナム、ロシア、ネパール、中東地域諸国などに攻撃対象を拡大しました。

-「Scarcruft」が使用するマルウェアクラスターのうち、「ROKRAT」ファミリーのマルウェアは、Cisco Talosが2017年に初めて言及したRATタイプのマルウェアであり、攻撃対象のOSに応じて、Windowsバージョン、Mac OSバージョン、Android環境を対象に流布されました。

  • マルウェア「ROKRAT」は、pCloudやYandexなどの正常なCloudサービスをC&Cサーバーとして活用して情報の取り消しとコマンドを実行するマルウェアです。
  • マルウェア「ROKRAT」の内部には、各Cloudサービスと通信するためのOAuthトークンが含まれています。認証後、Cloudサービスから暗号化されたコマンドコードを受け取り、復号後に行うか、感染機器から窃取した情報をCloudサービスにアップロードします。

- 当該レポートでは、「Scarcruft」グループの「ROKRAT」ファミリーマルウェアの流布に関連する4つの攻撃ケースと、流布された感染チェーンと関連マルウェア機能について説明します。



📌 4つの攻撃ケースと流布使用されている感染チェーンと関連マルウェア


「ROKRAT」の場合、初期侵入のためにマルウェアが添付されたスピアフィッシングメールを使用しています。2022年7月以降、「ROKRAT」の感染チェーンは初期段階で使用されるマルウェアによって大きく2つに分かれています。


Case A. ROKRAT distributed through DROKLINK

- DROKLINKを通じて流布されるマルウェア「ROKRAT」の感染フローとステップバイステップの詳細機能をレポート専門を通じて確認することができます。


Case B. ROKRAT distributed through DROKDOC

-「DROKDOC」マルウェアは、悪意のあるマクロを含むドキュメントファイルを実行すると、マクロの実行を通じて悪意ある行為が実行されます。

「DROKDOC」マルウェアを通じて流布されるマルウェア「ROKRAT」の感染フローとステップバイステップの詳細機能は、レポートを通じて確認できます。


Case C. Clugin & Cumulus

-「Scarcruft」は2017年度中旬にウォーターリングホール攻撃を通じて特定端末を対象にマルウェアアプリの流布攻撃を実施しました。2017年末には韓国内シェア1位を占めるメッセンジャーアプリ「KakaoTalk」を通じて北朝鮮の人権に関する団体関係者や北朝鮮専門メディア記者を対象にマルウェアアプリのインストールを誘導する攻撃キャンペーンも行いました。他にもFacebook経由で接触したり、Google PlayStoreにアップロードする方法でもマルウェアアプリをばら撒きました。この時点で、流行したマルウェアアプリもすべて「ROKRAT」のモバイル版として識別されました。


Case D. CloudMensis targeting MacOS

- ESETは、2022年7月にmacOSを対象としたマルウェア「CloudMensis」の内容を公開しました。

マルウェア「CloudMensis」は、感染システム情報やファイルの窃取、スクリーンキャプチャー、コマンド実行などの悪意ある行為を行い、「Sacrcruft」グループのmacOSバージョン「ROKRAT」として識別されました。



✅ 脅威検出の推奨事項と対策方法:


- マルウェア「ROKRAT」と流布方法が変化し続けていることから、「ROKRAT」クラスターの活動が今後も継続的に流布されると予想され、これに備えて感染チェーン、マルウェアの機能、詳細攻撃技術についてしっかりと確認し、対策に活用することをお勧めします。

- 詳細内容は下記リンクより、レポートに関してお問い合わせください。



🧑 レポート作成者:S2W 「TALON」(2024年11月13日基準)


👉 レポートに関するお問い合わせ:https://s2w.inc/contact



※当該レポートは、S2Wのプラットフォームにて提供されます。詳細に関してはお問い合わせください。 

脅威分析概要レポート
ランサムウェア「Rhysida」に関するレポート
2024.11.22
前へ
脅威分析レポート
2024年上半期ランサムウェア動向報告書
2024.12.02
次へ
一覧