北朝鮮の新しいサイバー攻撃者「Moonstone Sleet」とは？Microsoftが特定

被害者が提供されたIPアドレスとパスワードを入力してPuTTYを使用した場合、悪意のあるペイロードが展開される。この手法はDiamond Sleetが使用する手法と同じとされる。

○悪意のあるnpmパッケージ

Microsoftは脅威アクターが悪意のあるnpmパッケージを使用するプロジェクトを、LinkedInのようなプラットフォームを通じて配信していることを確認した。また、脅威アクターは偽会社の技術スキル評価を装って悪意のあるnpmパッケージを呼び出すZIPファイルを送信したこともわかっている。

悪意のあるnpmパッケージがロードされると、脅威アクターの管理するサーバから悪意のあるペイロードがダウンロードされる。MicrosoftはGitHubと協力し、この攻撃に関連したリポジトリを削除している。
○悪意のある戦車ゲームを配布

2024年2月以降、脅威アクターはDeTankWar(別名：DeFiTankWar、DeTankZone、TankWarsZone)と呼ばれる悪意のある戦車ゲームを配布した。DeTankWarはユーザー名、パスワード、招待コードによるプレーヤー登録が必要なゲームで、資金に余裕のないゲーム開発会社を装い、投資会社や別の開発企業に製品サンプルを提供する形で配布した。

○ランサムウェアを展開

2024年4月、脅威アクターは「悪意のある戦車ゲーム」で侵害した企業に対し、「FakePenny」と名付けたランサムウェアの亜種を展開した。この脅威アクターがランサムウェアを展開したのはこれが初めてとされる。

この攻撃は経済的利益が目的とみられ、Microsoftが観察した例では660万ドル相当のビットコインが要求されたという。これは、これまでの北朝鮮のランサムウェア身代金要求額より高いとされる。
○対策

MicrosoftはMoonstone Sleetによる攻撃を防止するため、次のような緩和策の実施を推奨している。

Microsoft Defender XDRを使用して人間が操作するランサムウェア攻撃を検出する
「制御されたフォルダーアクセス」を有効にする
Microsoft Defender for Endpointにて「改ざん防止機能」が有効になっていることを確認する
Microsoft Defender for Endpointにて「ネットワーク保護」を有効にする
「オンプレミスの資格情報窃取の概要」に記載されている資格情報の強化に関する推奨事項に従い、LSASSアクセスなどの一般的な資格情報窃取の手法を防止する
「ブロックモードでのエンドポイントの検出と応答」を実行すると、Microsoft以外のアンチウイルスソフトウェアが動作しない場合や、Microsoft Defenderウイルス対策がパッシブモードで動作している場合でも、悪意のあるアーティファクトをブロックできる
「自動調査」を完全自動モードに設定すると、Microsoft Defender for Endpointがアラートに対して即座にアクションを実行して侵害を解決できるようになる
Microsoft Defenderウイルス対策またはアンチウイルスソフトウェアと同等の「事前ブロック」を有効にして、急速に進化する攻撃者のツールやテクニックに対処する

MicrosoftはMicrosoft Defender XDRおよびMicrosoft Sentinelの顧客に対し追加の対策を提示している。また、調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
（後藤大地）