北朝鮮APTグループScarCruft、Zoho WorkDriveバックドアとUSBマルウェアでエアギャップ攻撃を実行

北朝鮮のAPTグループScarCruft、新たなマルウェアツールでエアギャップネットワークを標的

Zscaler ThreatLabzのセキュリティ研究者は、北朝鮮の高度持続的脅威（APT）グループScarCruftによる新たなサイバースパイ活動を発見した。この攻撃では、Zoho WorkDriveをコマンド＆コントロール（C2）通信に悪用し、USBベースのマルウェアを用いてエアギャップネットワークに侵入する。Ruby Jumperと名付けられたこのキャンペーンは、同グループが従来のセキュリティ防御を回避するための戦術を進化させていることを示している。

攻撃の技術的詳細

Ruby Jumperキャンペーンでは、主に以下の2つのマルウェアコンポーネントが使用されている。

1. Zoho WorkDriveバックドア

   • Zoho WorkDriveのクラウドストレージサービスを悪用したカスタムバックドア。
   • 感染したWorkDriveアカウントを介してデータを送受信し、追加のペイロードを取得する。
   • 正規のクラウドサービス利用に紛れ込むことで、検出回避を図る手法。

2. USBベースのインプラント

   • リムーバブルUSBドライブを介して拡散するマルウェア。
   • エアギャップシステムに挿入されると、事前に設定されたコマンドを実行し、攻撃者が制御するインフラにデータを送信する。
   • インターネット接続が制限された環境での横展開やデータ窃取を可能にする。

Zscalerの分析によると、ScarCruftは従来の攻撃手法に対する監視が強化される中、ツールセットを継続的に改良しているとみられる。

影響と帰属

ScarCruftは、APT37またはReaperとしても知られる北朝鮮の国家支援型脅威グループで、政府、防衛、重要インフラセクターを標的にする歴史がある。Zoho WorkDriveやUSBマルウェアの使用は、Living-off-the-Land（LotL）手法や物理メディアベースの攻撃へのシフトを示唆しており、ネットワークベースの防御を回避する狙いがある。

このキャンペーンがエアギャップネットワークを標的としている点は、軍事施設や原子力施設などの高セキュリティ環境におけるスパイ活動やデータ流出のリスクを高めるものとして懸念される。

防御のための推奨事項

同様の攻撃を検知・防止するために、セキュリティチームは以下の対策を実施すべきである。

• クラウドサービスの監視：Zoho WorkDriveやその他のクラウドストレージプラットフォームへのアクセスを監査・制限し、異常なデータ転送パターンを検出する。
• USBデバイスの制御：リムーバブルメディアの使用に関する厳格なポリシーを適用し、承認済みデバイスのホワイトリスト化やマルウェアスキャンを実施する。
• ネットワークセグメンテーション：エアギャップシステムを低セキュリティネットワークから隔離し、横展開を制限する。
• エンドポイント検知・対応（EDR）：不正なC2通信などの異常な挙動を検出するため、高度なEDRソリューションを導入する。
• 脅威インテリジェンスの共有：ScarCruftのTTPs（戦術、技術、手順）に関する最新情報を脅威インテリジェンスフィードから入手し、対策に活用する。

Zscaler ThreatLabzは具体的な被害者の詳細は公表していないが、北朝鮮のAPT脅威に対する警戒の強化が重要であると強調している。

詳細な技術分析については、ZscalerのRuby Jumperキャンペーンに関する完全なレポートを参照のこと。