Mandiantは、UNC2970として追跡されている、北朝鮮との関連が疑われるサイバースパイグループによるサイバースパイ活動の詳細をブログ記事で公開しました。このグループは、大手企業の採用担当者を装って、求職者を装って標的に近づきます。
私が特に興味深いと感じたのは、UNC2970がオープンソースのPDFリーダーであるSumatraPDFのトロイの木馬化されたバージョンを使用していることです。彼らはSumatraPDF自体の脆弱性を悪用しているのではなく、マルウェアを配信するためにコードを改変しています。
この手法は、ソフトウェアサプライチェーンによってもたらされる脅威の増大を浮き彫りにしています。オープンソースソフトウェアを使用する場合でも、注意を払い、ソフトウェアソースの整合性を確保することが重要です。
また、暗号化されたPDFファイルで被害者を誘い込み、MISTPENバックドアを展開するまでの感染チェーンの詳細な分析は、Mandiantの素晴らしい仕事ぶりだと思いました。
この分析は、セキュリティ研究者や防御者がUNC2970の戦術、技術、手順(TTP)をよりよく理解し、このグループに対する防御を改善するための貴重な洞察を提供します。
侵害の兆候(IOC)や検出と対応のためのYARAルールなど、完全な分析については、Mandiantのブログ記事を読むことを強くお勧めします。
