通称:AppleJeus 北朝鮮による暗号通貨を狙うマルウェアの分析 警告(AA21-048A)

2020/2/17 この共同勧告は、北朝鮮が正式に提起した暗号通貨に対するサイバー攻撃を明らかにするために、連邦捜査局(FBI)、サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)、および財務省(Treasury)の間で行われた分析努力の結果です。 朝鮮民主主義人民共和国(DPRK)として知られており、緩和策の推奨事項を提供します。

Alert (AA21-048A)
AppleJeus: Analysis of North Korea’s Cryptocurrency Malware

これらは、米国政府のパートナー、FBI、CISA、Treasuryと協力して、Lazarusグループ—これらの機関は、北朝鮮の国が後援する高度な持続的脅威(APT)アクターに起因すると考えています—は、暗号通貨の盗難を容易にするマルウェアを含むように変更された暗号通貨取引アプリケーションの普及を通じて、暗号通貨取引所や金融サービス会社を含む個人や企業を対象としています。

ATT&CKプロファイル ーMITRE ATT&CKを用いて観察された要約を示します。

図1:AppleJeusが使用するMITRE ATT&CKエンタープライズ手法

戦術タイトルテクニックIDテクニックタイトル
リソース開発[TA0042]T1583.001インフラストラクチャの取得:ドメイン
リソース開発[TA0042]T1583.006インフラストラクチャの取得:Webサービス
リソース開発[TA0042]T1587.001機能の開発:マルウェア
リソース開発[TA0042]T1588.003機能の取得:コード署名証明書
リソース開発[TA0042]T1588004機能の取得:デジタル証明書
初期アクセス[TA0001]T1566.002フィッシング:スピアフィッシングリンク
実行[TA0002]T1059コマンドおよびスクリプトインタープリター
実行[TA0002]T1059.002コマンドおよびスクリプトインタープリター:AppleScript
実行[TA0002]T1204.002ユーザーの実行:悪意のあるファイル
永続性[TA0003]T1053.004スケジュールされたタスク/ジョブ:起動
永続性[TA0003]T1543.004システムプロセスの作成または変更:デーモンを起動します
永続性[TA0003]T1547ブートまたはログオンの自動開始実行
特権昇格[TA0004]T1053.005スケジュールされたタスク/ジョブ:スケジュールされたタスク
防衛回避[TA0005]T1027難読化されたファイルまたは情報
防衛回避[TA0005]T1548昇格制御乱用メカニズム
防衛回避[TA0005]T1564.001アーティファクトを非表示:隠しファイルと隠しディレクトリ
発見[TA0007]T1033システム所有者/ユーザーの発見
浸透[TA0010]T1041C2チャネルを介した浸透
コマンドアンドコントロール[TA0011]T1071.001アプリケーション層プロトコル:Webプロトコル
コマンドアンドコントロール[TA0011]T1573暗号化されたチャネル
コマンドアンドコントロール[TA0011]T1573.001暗号化されたチャネル:対称暗号化
表1:観察されたMITRE ATT&CKテクニック

<緩和策>

ネットワーク内でAppleJeusマルウェアを特定した組織は、直ちに行動を起こす必要があります。次の手順を含めるアクションを起こしてください。

  • AppleJeusに関連する特定された活動については、直ちにFBI、CISA、または財務省に連絡してください。
  • 組織のインシデント対応計画を開始します。
  • ウォレットの新しいキーを生成するか、新しいウォレットに移動します。
  • 認証の追加レイヤーとして、2要素認証ソリューションを導入します。
  • 秘密鍵を別の安全な保管場所に保管するハードウェアウォレットを使用します。
  • 侵害されたウォレットから資金を移動するには、このアドバイザリに記載されているマルウェアを使用して資金を送金しないでください。
  • すべてのトランザクションをオフラインで形成し、攻撃者がアクセスする前に、短いオンラインセッションで一度にネットワークにブロードキャストします。
  • 影響を受けるホストをネットワークから削除します。
  • 攻撃者がネットワーク内を横方向に移動し、追加のマルウェアをダウンロードしたと想定します。
  • 影響を受けるホストに関連付けられているアカウントのすべてのパスワードを変更します。
  • 影響を受けたホストのイメージを再作成します。
  • ウイルス対策ソフトウェアをインストールして、ホストの毎日のディープスキャンを実行します。
  • アンチウイルスソフトウェアが最新の署名を毎日ダウンロードするように設定されていることを確認してください。
  • ホストベースの侵入検知(HIDS)ベースのソフトウェアをインストールし、最新の状態に保ちます。
  • すべてのソフトウェアとハ​​ードウェアが最新であり、すべてのパッチがインストールされていることを確認してください。
  • ネットワークベースのファイアウォールがインストールされているか、最新であることを確認してください。
  • ファイアウォールのファームウェアが最新であることを確認してください。

<連絡先>

FBIサイバー部門(CyWatch@fbi.gov
CISA(Central@cisa.dhs.gov
サイバーセキュリティおよび重要インフラストラクチャ保護の財務省(OCCIP)(OCCIP-Coord@treasury.gov

投稿者: 二本松 哲也

志を持った人たちと、夢に向かって共に働くことが私の誇りです。 サイバーセキュリティコンサルタント、IPAセキュリティプレゼンター、OWASPメンバー、2020年度総務省事業 テレワークセキュリティ専門家 I キャリア(個人事業主 PG→SE→PL→PM→ システムコンサルティング事業部 部長)、資格(2級知的財産管理技能士、個人情報保護士)、IPCC 地球温暖化防止コミュニケーター