Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

北朝鮮のハッカーグループThallium

つぶやいてみた。 海外事件

マイクロソフトが去年末に北朝鮮が関与すると思われるハッカー集団「Thallium」関係の50ドメインをテイクダウンしたと発表していました。

www.sankei.com

 

マイクロソフト(MS)は30日、北朝鮮と関係があるハッカー集団が不正アクセスで機密情報を盗んでいたと発表した。米国や日本、韓国の政府職員や大学関係者、核拡散問題に取り組む個人が標的になったという。

 MSは米裁判所に訴えを起こし、ハッカー集団が使っていた50のドメイン(インターネット上の住所)を管理する権限が認められた

 ハッカー集団は、MSなどを装った偽メールを送って被害者のアカウント情報を盗み、電子メールや連絡先リスト、カレンダーに記入した予定を見ていた。情報を盗むためにマルウエア(悪意のあるソフト)も使われていたという。

産経新聞記事より引用)

 

◆キタきつねの所感

対象国が3つと完全に絞られていますので、恐らくマイクロソフトの発表通りに北朝鮮に関係があるハッカーグループの攻撃を止める為に、マイクロソフトが訴えを起こした様です。

 

日本語の記事は各紙、産経と同程度のボリュームですが、海外記事を読むともう少し”騒いでいて”普段見ている巡回サイト(※私のセキュリティ情報収集法を整理してみた(2020年版) - Fox on Securityを参照下さい)のほとんどが記事を書いてました。日本も対象国となっている事を考えると、もう少し”騒いでも良い”気がしますが、単に影響範囲(誰が被害を受けたのか)が不明なだけなのかも知れません。

 

一番読みやすかった(正確にはGoogle翻訳が一番しっくりきた)記事を取り上げてみます。
gbhackers.com

Thalliumハッカーグループは、世界中の多くの組織や個人だけでなく、公共部門と民間部門、ビジネスの両方のマイクロソフトの顧客をターゲットにしています。

グループがスピアフィッシング攻撃を仕掛ける被害者を危険にさらすために、彼らはGmail、Yahooなどの評判の良いプロバイダーからのように見えるパーソナライズされたスピアフィッシングメールを作成します。

「疑わしいログインアクティビティが検出された」ことを示すメールがハッカーグループから送信され、メールにはリンクが埋め込まれています

被害者がリンクをクリックすると、ハッカーグループが制御するドメインに移動し、ログインページのコピーを提示します

マイクロソフトは、脅威アクターが文字「r」と「n」を組み合わせてmicrosoft.com」で「m」として表示するサンプルの詳細を説明しました。

 (GBHackers on Security記事より引用)※機械翻訳

 

マイクロソフトユーザを標的とするハッカーグループだったので、(顧客を守るために)マイクロソフト地方裁判所バージニア州)に訴えて、怪しい50ドメインをテイクダウンしたという事の様です。

APT(標的型)攻撃の典型例も説明されています。マイクロソフトの例示(※GBHackers記事より引用)メールサンプル・・・赤字の「m」に見える所が「rn」となっています。

ドメインのURL・・・偉そうな事を普段書いている私もひっかかりそうです。(小さな文字表示のモニターやスマホだと判別できない気がします)

 

被害者がログインページのコピーにログイン情報を提供した場合、タリウムハッカーグループが被害者のアカウント設定へのアクセスを得ることができ、彼らは電子メール、連絡先リスト、カレンダーの予定や妥協のアカウントへの関心の何かを確認することができ、言ったトム・バートは、マイクロソフトのカスタマーセキュリティ&トラスト担当コーポレートバイスプレジデント

また、被害者のメールアカウント設定に自動転送ルールを追加して、被害者が受信したメールのコピーを取得し、すべてのアクティビティを追跡します。

 (GBHackers on Security記事より引用)※機械翻訳

 

典型的なストーカー手法標的型攻撃です。偽マイクロソフト画面でログイン情報を窃取した後は、本人になりすまして個人情報及び、メール転送によって以後の活動も監視する、、かなり怖いものがあります。

 

被害者を欺くために、偽のページにログイン資格情報が入力された後、タリウム被害者を正規のMicrosoft Webサイトhttps://go.microsoft [。] comにリダイレクトします。

 (GBHackers on Security記事より引用)※機械翻訳

正規サイトへのリダイレクトは、日本で一昨年から猛威をふるっているEC-CUBE」サイトへの攻撃手法と同じです。

 

産経新聞の記事にあった、「情報を盗むためにマルウエア(悪意のあるソフト)も使われていたという。」の部分が、GBHackersの記事にはなかったので、別な記事を見てみると、、出てました。

このグループは、被害者のマシンにBabySharkおよびKimJongRATとして知られるバックドアを設置することで知られています。

(Dark Reading記事より引用)※機械翻訳

 

個人情報を収集し、メール監視をしておいて、、更にバックドアを設置しいつでも次の攻撃に移れる様にして端末を管理下に置いておく・・・私が攻撃対象になる事はほぼ無いかとは思いますが、こうした攻撃が一般化したらと考えると怖さを感じます。

 

参考まで、バックドアの説明図(パラアルト)です。あまり可愛くないサメの様です。

babyshark.png

※Palo Alto Networksより画像引用

 

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

 フィッシングサイトのイラスト

 

更新履歴

  • 2020年1月2日PM(予約投稿)