有効な証明書を悪用した、韓国国内のゲーム会社を対象とするサプライチェーン攻撃 Posted By ATCP , 2024년 10월 10일 AhnLab SEcurity intelligence Center(ASEC)は最近、韓国国内の企業およびユーザーを対象とした脅威をモニタリングしていたところ、韓国のゲーム会社を対象にサプライチェーン攻撃を実行した状況を確認した。当社が Larva-24008 と区分する当該攻撃グループは、韓国国内のゲームセキュリティ企業を攻撃し、ゲームセキュリティモジュールに不正なルーチンを挿入した。これにより、当該企業のセキュリティモジュールを使用するゲームはマルウェアが含まれたまま配布されてしまい、これをインストールしたシステムには最終的に遠隔操作マルウェアがインストールされて攻撃者に操作権限が奪われた。攻撃者は、改ざんされたセキュリティモジュールを使用するゲームのユーザー全員を攻撃対象とはせず、主にゲーム会社と確認された企業を対象に遠隔操作マルウェアをインストールした。すなわち、これは韓国国内のゲーム会社を対象とした APT 攻撃と推定できる。 この攻撃は2024年4月、5月に行われたもので、攻撃者はゲームセキュリティ関連のプログラムモジュールにマルウェアを仕込み、当該プログラムメーカーの有効な証明書で署名および配布した。配布はサプライチェーン攻撃の型で行われ、韓国国内のゲーム会社の公式サイトを通じてゲームをインストールする過程でマルウェアが同時にインストールされた。攻撃者が仕込んだコードは、PowerShell コマンドを実行し、特定のアドレスから難読化されたスクリプトをダウンロードして実行するが、結果的に被害システムが攻撃者の指定する特定の IP アドレスである場合、Remcos…
