【セキュリティ】北朝鮮政府関与のマルウェア「Typeframe」に米国が注意喚起

へっぽこ立て子＠エリオット ★

　米コンピュータ緊急事態対策チーム（US-CERT：United States Computer Emergency Readiness Team）が、新たに発見されたマルウェア「TYPEFRAME」に関して、ユーザーと管理者に注意を呼び掛けている。これは北朝鮮のハッキンググループ「HIDDEN COBRA」（別名：Lazarus Group）によるものとみられている。

　US-CERTが作成したTYPEFRAMEに関する報告書は、「Windows」の実行ファイルや、悪意のある「Visual Basic」マクロが埋め込まれた「Word」文書など、11件のマルウェアを特定している。

　「これらのファイルは、マルウェアをダウンロード、インストールし、プロキシとリモートアクセス型トロイの木馬（RAT）をインストールできる。そして、コマンド＆コントロール（C＆C）サーバに接続して攻撃者からの指示を受け取ったり、ユーザーのファイアウォールを変更して外部からの接続を許可したりできる」と、報告書は述べている。
Incident Reporting System | US-CERT （英文）
https://www.us-cert.gov/ncas/analysis-reports/AR18-165A

　US-CERTは5月に、HIDDEN COBRAのマルウェア「Joanap」と「Brambul」についてアラートを公開した。
米政府、北朝鮮のハッカーが使用する2種類のマルウェアについて情報公開 - ZDNet Japan
https://japan.zdnet.com/article/35120039/
これらのマルウェアはメディア、航空宇宙、重要インフラなどの分野の企業から情報収集をする狙いで、2009年以来利用されている。

　研究者らは、猛威を振るった「WannaCry」ランサムウェア、バングラデシュ中央銀行からSWIFTを通じて8000万ドル盗みとったサイバー攻撃、そして2014年のSony Pictures Entertainmentのハッキングも、HIDDEN COBRAが背後にいる可能性があるとみている。
世界74カ国でランサムウェア攻撃、病院や銀行などに被害 - ZDNet Japan
https://japan.zdnet.com/article/35101102/
バングラデシュ中銀の不正送金被害--中銀の粗末なセキュリティ、SWIFTソフトに侵入の可能性が明らかに - ZDNet Japan
https://japan.zdnet.com/article/35081781/

　TYPEFRAMEは、US-CERTがHIDDEN COBRAグループに関連付けた12番目のマルウェアとなり、ほかにも破壊的影響力のあるマルウェアや、分散型サービス拒否（DDoS）攻撃を仕掛けるツールなどが見つかっている。

　US-CERTが2017年12月に発見し、2018年3月に再浮上したマルウェアインプラント「Bankshot」もHIDDEN COBRAによるものとみられている。このRATは、トルコの金融業界を標的に、「Adobe Flash Player」の脆弱性を埋め込んだ悪意のあるWord文書を使って、フィッシング攻撃を仕掛けたとされる。

　北朝鮮のハッカーが開発したと考えられているこの脆弱性は、韓国を狙ったゼロデイ攻撃でも悪用されたとみられている。
Flash Playerにゼロデイの脆弱性、韓国で悪用攻撃発生 - ZDNet Japan
https://japan.zdnet.com/article/35114132/

　US-CERTは、TYPEFRAMEに関連したすべての攻撃活動に対する「緩和策の強化を最優先」するよう、管理者とユーザーに呼び掛けている。

2018年06月19日 11時42分
CNET Japan
https://japan.zdnet.com/article/35121051/