北朝鮮が韓国の人気ワープロソフト「Hangul Word Processor」をゼロデイ攻撃

『Security Affairs』

September 18, 2015 08:00
by 『Security Affairs』

北朝鮮が、韓国で広く使用されているワープロソフト「Hangul Word Processor」のゼロデイ(CVE-2015-6585)を悪用し、同国の関係者に対してサイバー攻撃を仕掛けているとFireEyeのセキュリティ専門家は推測する。

FireEyeが発行したレポートによると、Hangul Word Processorは主に韓国の政府や公的機関が使用する独特のソフトウェアであり、このため北朝鮮はこれを悪用して攻撃の動線としているようだ。

Hangul Word Processorの開発者であるHancomは、数日前にCVE-2015-6585を修正した。

FireEyeの専門家は、攻撃が誰によるものかは明確だと警告した。攻撃シナリオや攻撃者が選択した標的といった状況証拠は、北朝鮮がこのサイバー攻撃の背後にいると確信させるものだったようだ。

「最終的な結論ではないものの、韓国独特のワープロソフトを狙っているという点が韓国の標的への特別な関心を強く示唆している。更に、コードの類似性やインフラの重複性から、この攻撃は恐らく北朝鮮の攻撃者によるものだとFireEye Intelligenceは判定した」とFIreEyeが発行したレポートに記載されている。

被害者が悪意あるHangul Word Processorのインスタンスを開くと、標的にバックドアがインストールされるとFireEyeの研究者は説明した。FireEyeがHANGMANと名付けたこのバックドアは、このような種類のマルウェアに共通する機能を持っている。

「悪意のあるHWPX文書(※編集部注:Hangul Word Processorで作られたファイル形式)は全て、我々がHANGMANと呼ぶバックドアと同様のコピーをインストールする。HANGMANはファイルのアップロードやダウンロード、プロセスとファイルシステムの管理、システム情報の収集、自身の設定のアップデートを実行することができる。またこのバックドアは、SSLで自身の通信プロトコルをラップする。HANGMANは、通常のSSLハンドシェークを自身のコマンド&コントロール(C2)サーバーに送信することで通信を開始する。それから、SSLのヘッダーメッセージを使用して通信を続けるが、メッセージのペイロードはカスタムのバイナリプロトコルである」とレポートは続けている。

HANGMANのコード分析から、研究者はコマンド&コントロールインフラの一部であるハードコードされたIPアドレスの存在を発見した。これらのIPアドレスは、北朝鮮が関係すると疑われている攻撃に結びつけられているものだ。

HANGMANには、FireEyeが発見したPEACHPITと呼ばれる別のバックドアとの類似点が複数ある。専門家は、PEACHPITを北朝鮮のものとしている。

「HWPX文書がドロップするHANGMANの亜種は、北朝鮮の攻撃者が使用したと疑われている他のマルウェアファミリー、例えば我々がPEACHPITと呼ぶバックドアにとても似た機能を用いている。PEACHPITとHANGMANは両方とも、リモートのC2サーバーからバックドアにWindowsのコマンドを送信する機能を持つ」とレポートに記述されている。

翻訳:編集部
原文:North Korea exploits a 0-day in the South Korea’s principal Word processor
※本記事は『Security Affairs』の許諾のもと、日本向けに翻訳・編集したものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…