North Korea

Andariel’として追跡されている北朝鮮の国家支援ハッキンググループは、RaaSを使用して舞台裏で動作し、制裁を回避するために、Playランサムウェアの操作にリンクされている。

Palo Alto NetworksとUnit 42の研究者によるレポートによると、AndarielはPlayの関連会社であるか、あるいは初期アクセスブローカー(IAB)の役割を果たし、数カ月前に侵入したネットワーク上でマルウェアの展開を促進していた可能性があるという。

Andarielは、北朝鮮の軍事諜報機関である偵察総局と関連があると考えられている国家支援のAPTグループである。2019年、米国は北朝鮮のLazarus、Bluenoroff、Andarielの各脅威行為者に対して、米国の利益に対する攻撃を理由に制裁を科した

これらの脅威アクターは、サイバースパイのため、また北朝鮮の活動資金を調達するために攻撃を行うことが知られており、以前にもランサムウェアの操作に関連していました。

2022年、カスペルスキーは日本、ロシア、ベトナム、インドの標的に対する攻撃で、AndarielがMauiランサムウェアを展開している証拠を示した。

米国政府はその後、リム・ジョンヒョク(Rim Jong Hyok)に関するあらゆる情報に対して1,000万ドルを提供することで、これを確認しました。リム・ジョンヒョクはアンダリエルのメンバーであり、米国全土の重要なインフラや医療機関を標的としたマウイ・ランサムウェア攻撃に関与していると特定しました。

アンダリエルとPlayのつながり

2024年9月のPlayランサムウェアのインシデント対応中に、Unit 42は2024年5月下旬にAndarielが顧客の侵害されたネットワークに侵入したことを発見しました。

脅威行為者は侵害されたユーザーアカウントを介して最初のアクセスを達成し、レジストリのダンプを抽出し、クレデンシャル採取のためにMimikatzを展開しました。

次に、オープンソースのペンテスト・スイートであるSliverを展開し、コマンド・アンド・コントロール(C2)ビーコニングを行い、SMB経由で到達可能なすべてのホストに、独自のカスタム情報窃取マルウェアであるDTrackを展開しました。

その後数ヶ月の間、脅威者はネットワーク上での存在を確固たるものにし、悪意のあるサービスを作成し、リモート・デスクトップ・プロトコル(RDP)セッションを確立し、エンドポイント検出および応答(EDR)ツールをアンインストールしました。

しかし、PLAYランサムウェアの暗号化プログラムがネットワーク上で実行され、デバイスが暗号化されたのは、それから3ヵ月後の9月5日のことでした。

Timeline of the attack
攻撃のタイムライン
出典ユニット42

Unit 42は、Andarielの存在と同じネットワーク上でのPlayの展開が関連していると、中程度の確信を持って結論づけている。

これは以下の手がかりに基づいている:

  1. 初期アクセス、ツールの拡散、横移動、権限の昇格、EDRのアンインストールに同じアカウントが使用され、Playランサムウェアの展開につながった。
  2. Sliver C2の通信はランサムウェア展開の直前まで続き、その後C2 I.P.はオフラインになった。
  3. TokenPlayerやPsExecを含むPlayランサムウェアのツールはC:◆UsersPublic◆Musicで発見され、過去の攻撃で観察された一般的な手口と一致した。

しかし、Andarielが今回のケースでPlayの関連会社として行動したのか、攻撃者に侵害されたネットワークへのアクセスを売ったのかは不明である。

制裁の回避

Ransomware-as-a-Serviceの運営では、アフィリエイト(または「広告」)が身代金支払いの70~80%を獲得し、ランサムウェア開発者が残りを獲得するというレベニューシェアが一般的に推進されているが、一般的にはそれよりも少し複雑である。

多くの場合、アフィリエイトは、企業ネットワークに侵入してプレゼンスを確立し、暗号化ツールを展開するアフィリエイターにアクセスを引き渡す役割を担う「ペンテスター」と連携している。

以前、ランサムウェアの脅威関係者と話した際、ペンテスターがデータを盗むこともあれば、アフィリエイトがデータを盗むこともあると聞いた。

身代金の支払いが行われた後、ランサムウェアの運営者、ペンテスター、アフィリエイトがお金を山分けする。

アンダリエルがアフィリエイトであろうと初期アクセスブローカー(ペンテスター)であろうと、裏でランサムウェア・ギャングと協力することで、北朝鮮の脅威行為者は国際制裁を逃れることができる。

過去には、2019年に米国政府から制裁を受けたロシアのハッキンググループ「Evil Corp」が同様の手口を用いていた。

制裁を受けた後、一部のランサムウェア交渉企業は、財務省からの罰金や法的措置に直面することを避けるために、Evil Corpのランサムウェア攻撃に対する身代金の支払いを促進することを拒否しました。

しかし、このため脅威行為者は、制裁を回避するために、WastedLockerHadesPhoenix CryptoLockerPayLoadBinMacawなど、異なる名前で頻繁にブランド名を変更するようになりました。

さらに最近では、同じく制裁を受けているイランの脅威行為者が、ランサムウェア攻撃を煽るための初期アクセスブローカーとして活動していることが発見されている。