マイクロソフト(MS)のセキュリティチームを装ったメールを通じて韓国のユーザーPCに侵入する新種のマルウェアが見つかった。北朝鮮関与のハッカー組織の犯行とみられるこのマルウェアは、キーボード入力の記録やマイク録音など30種以上の機能でシステムを掌握できることが判明した。
15日、セキュリティ企業Geniansによると、最近、北朝鮮関与のハッカー組織APT37の犯行とみられるマルウェア「ナワルラット(NarwhalRAT)」が韓国内のユーザーを対象に拡散していることが確認された。
攻撃は、MSアカウントでワンタイム認証コード(OTP)が繰り返し生成される異常兆候が見つかったという内容のフィッシングメールで始まる。送信者名は「Microsoft アカウント チーム」と表示されるが、実際の送信ドメインはMSの公式ドメインではないことが確認された。
メールはアカウント奪取の可能性に言及し、添付のセキュリティ案内文を確認するよう誘導する。もし圧縮ファイルを展開すると、ハングル文書のように見える悪性ショートカット(.lnk)ファイルが現れ、これを実行すると、正規のセキュリティ案内文書が開くと同時にマルウェアのインストールが進む。
Geniansは、マルウェアがインストールされた後にPC内部に「naverwhale」という名前のフォルダーを生成する点に着目し、「Narwhal(イッカク)」と結合した文字再配列方式で「NarwhalRAT」という名称を付けた。
「naverwhale」フォルダーは、韓国内で広く使われるNAVER Whaleブラウザーに偽装しようとする意図と解され、韓国のユーザーを主要な標的としていることを示唆するとGeniansは説明した。
内部コードにはカカオトーク関連ウィンドウを情報収集対象から別途処理するロジックも含まれている。補助ウィンドウをふるい分けて収集データの精度を高める方式で、韓国のユーザー環境を考慮して開発された状況と分析される。
ナワルラットは攻撃者のリモートコマンドに従い、キーボード入力の記録、画面キャプチャ、マイク録音、USB記憶装置のファイル収集、リモートコマンド実行など30種以上の機能を選択的に実行できる。被害者PCでどのプログラムを使用し、どのサービスに接続しているかを、画面とキー入力を通じてリアルタイムで把握できる。
収集したデータは即時に外部へ送信されず、作業ディレクトリに一時保存された後、一括送信される。リアルタイムのネットワーク検知を回避する狙いと解される。
Geniansは、今回の攻撃が昨年5月に公表された北朝鮮関与のハッカー組織APT37のPythonベースのバックドア攻撃事例と、構造・手口の面で高い類似性を示すと分析した。スピアフィッシングに使われたおとり文書の最終保存者名が「Lailey」で同一であり、悪性ショートカットファイルの構造とバッチファイルの難読化方式、タスクスケジューラに基づく永続性確保など、相当部分が一致したという説明だ。
Geniansは「今後、類似した変種の形で継続的に悪用される可能性があるだけに、ファイルベースの検知と併せて、振る舞いベースの検知体制を強化すべきだ」と述べた。