概要
北朝鮮の国家支援型ハッキンググループAPT37(別名:ScarCruft)が、Facebookを活用した高度なソーシャルエンジニアリング攻撃を展開していることが明らかになった。攻撃者はFacebook上に「richardmichael0828」や「johnsonsophia0414」といった偽アカウントを作成し、所在地を平壌や平城に設定した上で標的にフレンドリクエストを送付。Messengerを通じた会話で信頼関係を構築した後、最終的にTelegramへと誘導する多段階のソーシャルエンジニアリングを実施した。
被害者には、暗号化された軍事文書とともにZIPファイルが配布された。攻撃者は「このファイルを開くためには専用ソフトウェアが必要」と説明し、正規のPDFビューアソフト「Wondershare PDFelement」をトロイの木馬化した改ざん版をインストールさせることで、マルウェアの実行を実現した。
感染チェーンと技術的詳細
改ざんされたPDFビューアが実行されると、内部に埋め込まれたシェルコードが動作し、C2サーバー(japanroom[.]com)への通信を確立する。このC2には日本の不動産サイトが侵害されて悪用されており、攻撃インフラを正規ドメインに偽装することで検知を困難にしている。次に「1288247428101.jpg」という名称のJPG画像に偽装した第2段階ペイロードが配信され、最終的にRokRATが展開される。
RokRATはスクリーンショットの撮影、cmd.exeを介したリモートコマンド実行、ホスト情報の収集、システム偵察といった機能を備える。さらに、Qihoo 360 Total Securityなどのセキュリティツールを積極的に回避する機能を持つ。今回の攻撃は、正規ソフトウェアの改ざん、侵害された実在ドメインのC2活用、悪意あるペイロードの画像ファイル偽装という三つの手法を組み合わせた「高度な回避戦略」として評価されている。
背景と今後の展望
APT37はRokRATのコア機能そのものを革新するのではなく、配信・実行・回避のチェーンを継続的に進化させる戦略を取っている。これは国家支援型アクターとしての成熟した運用能力を示しており、検知・対処が難しい持続的脅威となっている。Facebookのような一般的なSNSプラットフォームを初期接触の場として利用する手口は、標的型攻撃(スピアフィッシング)の新たな形態として注目されており、軍事・政府・安全保障関連の組織を中心に警戒が必要だ。セキュリティチームは、業務外のSNSを通じた不審なファイル共有の依頼や、ソフトウェアのインストールを促す誘導には特に注意を払う必要がある。