韓国のセキュリティソリューション開発企業、Genians社のGenians Security Center(GSC)によると、APT37グループの韓国での攻撃において画像ファイルに悪意のあるコードを隠すステガノグラフィの技術が使用されているということです。
DropboxドライブからDLされたJPEG画像に
APT37は、主に韓国でスパイ活動を行っている北朝鮮のハッカーグループです。一時、活動がみられない時期があったようですが、2023年1月に活動を再開し主にスピアフィッシングメールで個人を標的にしているようです。マンディアントによるとAPT37の主な任務は、北朝鮮の戦略的な軍事、政治、経済的利益を支援するための情報収集で北朝鮮の防諜機関である国家安全保障省の目的と活動が合致しているということです。脱北者や脱北者支援組織、人道支援団体などを標的にしているということですが、2018年のロイターの記事はAPT37が標的を日本や中東に拡大したことを伝えており、最近ではカンボジアでAPT37との関連が疑われるキャンペーンが確認されていることから、その動向は日本のサイバー空間にもなにかしらの影響があると考えられる脅威グループです。
Geniansの報告によると、APT37は特定の個人にスピアフィッシングメールを送り付け、そのメールに添付されているZIPファイルに梱包された.lnkファイルや.hwpファイルを使ってRoKRATに感染させるようです。RoKRATはAPT37が使用しているとされるRAT(Remote Access Trojan)です。.linkファイルはWindowsのショートカットファイルで使用されているファイルの拡張子ですが、Geniansは「メールやSNSなどのインスタントメッセージングプラットフォームで受信した圧縮アーカイブ内にショートカットファイルが見つかった場合は、悪意のあるファイルである可能性が高い」としています。
また、.hwpは韓国で広く使われている文書ファイルの拡張子です。.hwpファイルを開いて埋め込まれているハイパーリンクをクリックするとDropboxドライブからJPEG画像がダウンロードされ、その画像にステガノグラフィと呼ばれている手法でRoKRATが埋め込まれているということです。JPEG画像を呼び込むとRoKRATが呼び込まれて感染するようです。
高度な攻撃で使用、検出回避狙う
カスペルスキーの記事によると、ステガノグラフィは情報を隠す手法で何世紀も前から存在するということです。ステガノグラフィを使うことでテキストや画像、動画、音声コンテンツなどあらゆるコンテンツのデータを隠すことができ、隠されたデータは送信先で抽出されるということです。特定の技術を言うのではなく、隠して伝える手法がステガノグラフィと呼ばれるようで、例えば水につけると文字が浮かび上がる紙などもステガノグラフィの手法が使われているということになるようです。似た手法に暗号化がありますが、ステガノグラフィはデータを鍵を使って復号化することはないということです。デジタル空間においてステガノグラフィはセキュリティの保護や機密情報の伝達などのシーンでも利用されているようですが、ファイルに悪意のあるコードを埋め込んでサイバー攻撃を行うために使われているケースが多いようです。カスペルスキーによるとステガノグラフィをうまく使うためには労力と微調整が必要なことから特定の標的に狙いを定めた高度な攻撃において使われているということです。
過去に日本でもステガノグラフィを使ってオンライン銀行詐欺のためのトロイの木馬が拡散されたことがありました。ステガノグラフィはサイバー攻撃で依然として使われており、攻撃者がステガノグラフィを使う主な目的は検出を回避することにあるようです。Geniansは「複数のビジネスエンドポイントを持つ組織のセキュリティ管理者は、脅威に関連する様々な攻撃手法と戦術について常に最新の情報を把握しておく必要がある」としています。
■出典・参考
https://www.genians.co.kr/en/blog/threat_intelligence/rokrat_shellcode_steganographic
https://cloud.google.com/blog/ja/topics/threat-intelligence/mapping-dprk-groups-to-government
https://www.kaspersky.co.jp/resource-center/definitions/what-is-steganography