北朝鮮のハッカー集団が使う新型マルウェア「BLINDINGCAN」の分析情報をアメリカ政府組織が公開

アメリカの連邦捜査局(FBI)とサイバーセキュリティおよびインフラストラクチャーセキュリティ庁(CISA)が2020年8月19日に、北朝鮮が支援しているとされるハッカーグループが政府の請負業者を標的とした攻撃で使用したリモートアクセス型トロイの木馬(RAT)マルウェア「BLINDINGCAN」に関する情報をまとめた分析レポートを発表しました。

MAR-10295134-1.v1 – North Korean Remote Access Trojan: BLINDINGCAN | CISA
https://us-cert.cisa.gov/ncas/analysis-reports/ar20-232a

FBI, DHS expose North Korean government malware used in fake job posting campaign
https://www.cyberscoop.com/north-korean-government-malware-hacking-fake-job-fbi-dhs/

US govt exposes new North Korean BLINDINGCAN backdoor malware
https://www.bleepingcomputer.com/news/security/us-govt-exposes-new-north-korean-blindingcan-backdoor-malware/

このマルウェアは、「APT38」あるいは「Lazarus」「Hidden Cobra」と呼ばれるハッキンググループが使っているものといわれています。APT38は北朝鮮政府が後援についているといわれており、世界中の銀行にアクセスして数百億円をだまし取っていたほか、ランサムウェア「WannaCry」の作成に関与している疑いがあります。

北朝鮮のハッカー集団が数百億円もの現金を世界中の銀行から不正に引き出していたことが判明 - GIGAZINE

分析レポートによれば、BLINDINGCANには「被害者のシステムに様々な機能を提供する遠隔操作用の機能」が内蔵されているとのこと。APT38は、XMLドキュメントに偽装したファイルを対象に開かせることでマルウェアをインストールさせていたようで、CISAはBLINDINGCANに関連する4種類のXMLドキュメントと2種類のDLLを入手したことを明らかにしました。

BLINDINGCANは、具体的に以下のような機能を持っているとのこと。
・ディスクの種類やディスクの空き容量など、インストールされているすべてのディスクに関する情報を取得する
・新しいプロセスとそのプライマリスレッドの作成、開始、終了
・ファイルの検索、読み込み、書き込み、移動、実行
・ファイルやディレクトリのタイムスタンプの取得と変更
・プロセスやファイルのカレントディレクトリを変更する
・感染したシステムから自分自身と痕跡を消去する

なお、イスラエル国防省が2020年8月12日に、「北朝鮮政府が関与するハッカー集団が、ボーイングなどの航空企業・防衛企業の関係者にハッキング目的で接触した」と発表しています。これは、「就職希望者のふりをしたAPT38のハッカーが、ビジネス系SNSのLinkedInを通じて偽の求人を送って人事部に近づき、メッセージングアプリのWhatsAppを通じてマルウェアをインストールさせ、ハッキングを試みる」という手口を使っており、BLINDINGCANが使われたかどうかは確定していませんが、実際に被害に遭ったPCから検出されたファイルのうち少なくとも2つはCISAが入手したものと一致したとのこと。

FBIは報告書で、「APT38のハッカーがプロキシサーバと組み合わせてマルウェアの亜種を使い、被害者のネットワーク上に存在し続けながら、ネットワークからのさらなる搾取を行っていると確信しています」と述べました。なお、FBIとCISAは2020年5月に、APT38を含む北朝鮮関連のハッカー集団に関する情報提供に最大500万ドル(約5億円)の報酬金を用意しています。