医療基金の政府運営に対する北朝鮮のランサムウェア攻撃

米国のサイバーセキュリティ & インフラストラクチャ セキュリティ エージェンシー (CISA) からの新しいサイバーセキュリティ アドバイザリでは、最近観察された、公衆衛生およびその他の重要なインフラストラクチャ セクターに対する北朝鮮のランサムウェア操作で観察された戦術、技術、および手順 (TTP) について説明しています。

この文書は、NSA、FBI、CISA、米国 HHS、および大韓民国国家情報院と国防安全保障局からの共同報告書であり、この方法で強要された資金が北朝鮮政府の国家レベルの優先事項と目的を支援するために使われたことを指摘しています。 .

民間で開発されたロッカー以外にも、CISA は、ハッカーが韓国と米国の医療システムを攻撃するために、ファイル暗号化マルウェアの約 10 種類を使用したと述べています。

ステージのセットアップ

CISA の勧告によると、北朝鮮の脅威アクターは、偽のペルソナとアカウントを使用して攻撃に必要なインフラストラクチャを取得し、暗号通貨を違法に取得しました。マネー トレイルを覆い隠すために、彼らはしばしば適切な外国の仲介業者を探します。

ハッカーは、VPN サービスと仮想プライベート サーバー (VPS) または第三国の IP アドレスを介して、その出所を隠します。

標的への侵入は、標的ネットワークへのアクセスと権限昇格を可能にするさまざまな脆弱性を悪用することによって行われます。

彼らが悪用したセキュリティ問題には、Log4Shell (CVE-2021-44228)、SonicWall アプライアンスのリモート コード実行の欠陥 (CVE-2021-20038)、TerraMaster NAS 製品の管理者パスワード開示の欠陥 (CVE-2022-24990) などがあります。

「攻撃者はまた、韓国の中小病院の従業員が一般的に使用するオープンソース メッセンジャーである「X-Popup」のトロイの木馬化されたファイルを介して、悪意のあるコードを拡散した可能性があります」と CISA はレポートに付け加えています。

北朝鮮のハッカーは、最初のアクセスを確立した後、シェル コマンドを実行し、情報収集に役立つ追加のペイロードを展開することで、ネットワークの偵察と水平移動を実行します。

ランサムウェアの脅威

北朝鮮のハッカーは Maui およびH0lyGh0st ランサムウェア株に関連付けられていますが [1、2 ] 、米国機関は、「暗号化のために公開されているツールを使用または所有していることが観察されている」と述べています。

• BitLocker (正当なツールの悪用)
• デッドボルト
• ech0raix
• 泣くぞ
• ヒドゥンティア
• ジグソーパズル
• ロックビット 2.0
• My Little ランサムウェア
• Nxランサムウェア
• リューク
• あなたの身代金

これらのロッカーの半分以上が公開ソースから入手可能であることに注意してください。ただし、それらすべてについてこれを確認できませんでした.

興味深い側面の 1 つは、 Deadboltおよびech0raixランサムウェア株の使用です。これらは、過去数年間、QNAP ネットワーク接続ストレージ (NAS) デバイスを重点的に標的にしていました。

攻撃の最終段階で、攻撃者はビットコイン暗号通貨での身代金の支払いを要求します。彼らは Proton Mail アカウントを使用して被害者と通信します。多くの場合、特に被害者が医療部門の民間企業である場合、要求には盗まれたデータを漏らすという脅迫が伴います。

CISA は、医療機関が、アカウント保護のための多要素認証 (MFA)、暗号化された接続、使用されていないインターフェイスのオフ、ネットワーク トラフィック監視ツールの使用、最小特権の原則の遵守、利用可能なすべてのソフトウェア製品へのセキュリティ更新プログラムの適用などのセキュリティ対策を実装することを推奨しています。使用。

推奨事項と軽減策、侵害の痕跡 (IoC) の完全なリスト、および情報リソースと相談窓口へのリンクについては、CISA のアラートを確認してください。