Korea01

  昨年までは北朝鮮と韓国の間で緊張が続き、いつ戦争が起きてもおかしくない状況でしたが、今年に入り、急に融和ムードとなっておりますが、その一方ネット上ではまだまだ北朝鮮は韓国に対し攻撃を仕掛けているようです。

0DAY
 これは先月から韓国に対してゼロディ攻撃が活発化しており、その攻撃は北朝鮮のサイバースパイ団体がActiveXのゼロデイを利用して、韓国の標的にマルウェアを感染させたり、侵入したシステムからのデータを盗み出したりしているようです。

 このゼロディの攻撃の加害者はAndariel Groupと呼ばれ、 韓国のサイバーセキュリティー会社AhnLabが作成した報告書によると、Andariel Groupは、北朝鮮の軍隊の一員で構成されているサイバー集団であり、この北朝鮮のサーバー集団で有名なLazarus Group -North koreaのサイバースパイ団体の一部と考えられています。


 サイバー攻撃である今回のゼロディ攻撃の波は先月から始まり、 地元のメディアの報道によると、Andarielのハッカーたちは、新しいゼロデイを含め、少なくとも9つの別個のActiveX脆弱性を攻撃のために導入したと報じています。

 この攻撃の方法は、正当なサイトをハッキングし、悪用コードをウェブサイトに組み込み、高価値のターゲットが侵害されるまで、このサイトを訪れたすべての端末を感染させる、いわゆる「ウォーターホール攻撃」を行うということです。
 感染されたユーザーはバックドア型のトロイの木馬をが仕込まれ、北朝鮮側の情報の検索と収集に使用されるということです。

 韓国のインターネットセキュリティ庁(KISA)の政府関係者は、「これらの攻撃ではゼロデイ脆弱性が発見された」 と報じています 。

Andariel

 今回攻撃を行っている北朝鮮のハッカーであるAndariel Groupは、過去にもActiveXの脆弱性を使用してサイバー攻撃を行った歴史があり、今回も同様に ActiveXの脆弱性を利用しています。

 とある韓国のセキュリティ研究者によると、 今回のActiveXのゼロデイ攻撃はサムスンSDSのAcubeインストールに対する攻撃と関連していると語っており、この攻撃対象となっているAcubeは、Samsungのエンタープライズ部門によって開発されたデスクトップベースのグループウェアアプリケーションだということです。

Acube

 このAcubeは韓国の企業で多く使われており、ActiveXコントロールもサポートしているソフトだということです。
 サムスンは、アプリケーションを通じてこのゼロデイの悪用を防ぐために、Acubeへのアップデートをリリースしましております。
 
 安全保障派の専門家らは、米国と中国が2015年後半に外交的なサイバーセキュリティ契約に調印した後、中国のハッキング活動の減速と同様に、韓国の北朝鮮のサイバースパイ活動の減速を予想しておりました。しかし、この予想とは裏腹に北朝鮮のサイバースパイ活動は以前と同じレベル、または増加しているとのことです。 

 今回もこの韓国と北朝鮮との融和ムードの裏では、北朝鮮は韓国に対してサイバー攻撃を増加させているといった事実が今回の件で浮き彫りとなりました。