韓国のセキュリティ企業、S2Wのリサーチャーによると、北朝鮮の脅威グループScarCruftがランサムウェア攻撃を行っていることが明らかになりました。ScarCruftは主にスパイ活動を主に行ってきましたが、平壌への資金供給を目的としたサイバー攻撃を行うことも少なくありません。
S2Wは次のように述べています。「従来、ScarCruftのキャンペーンでランサムウェアの展開は多くありませんでしたが、今回の事例を見る限り、同グループがこれまでのスパイ活動中心から、より多くの金銭を狙うため、恐喝を含むサイバー攻撃へ方向転換している可能性があります。」
先月、S2Wのリサーチャーが韓国のユーザーを標的としたキャンペーンで、同グループがランサムウェアを展開していることを観測しました。攻撃者は、住所表記の変更に伴う郵便番号の更新通知を装ったフィッシングメールを送り、RARアーカイブに埋め込まれた不正なLNKファイルを添付して、複数のマルウェアを拡散していました。
S2Wは次のように説明しています。「LNKが実行されると、AutoItローダーをドロップし、その後、外部サーバーからスティーラー、ランサムウェア、バックドアなどの追加ペイロードを取得して実行します。本キャンペーンで確認された9種類のマルウェアのうち、特に注目すべきはNubSpy、LightPeek、TxPyLoader、FadeStealer、VCD Ransomware、CHILLYCHINOなどです。」
また、この脅威グループは標的の拡大や検出回避を目的に、マルウェアを新たなプログラミング言語へ移植していることも確認されています。
リサーチャーは次のように述べています。「既存のマルウェアや一般公開されているコードを、別のプログラミング言語へ移植して再利用しています。同グループが以前にAblyGoのようなGo言語で書かれたマルウェアを用いていたのと同様に、今回のキャンペーンではRustで記述されたマルウェアが確認され、検出回避と柔軟性向上のためにモダンな言語を採用する傾向が見られます。これらの取り組みは、ScarCruftが依然として検出回避とツールセットの拡充に注力していることを示しています。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、The Recordの記事を参照してください。
原典:KnowBe4 Team著 2025年8月19日発信 https://blog.knowbe4.com/north-korean-threat-actor-delivers-ransomware-via-phishing-emails