米国 司法省 米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で北朝鮮政府のハッカーを起訴

こんにちは、丸山満彦です。

米国の司法省が、米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で北朝鮮政府のハッカーを起訴していますね...

合わせて、CISAから警告が、国務省から情報に対する報奨に関して公表されていますね...

あと、マイクロソフト、グーグルからも情報を出していますね...

 

● U.S. Department of Justice - Office of Public Affairs

・2024.07.25 North Korean Government Hacker Charged for Involvement in Ransomware Attacks Targeting U.S. Hospitals and Health Care Providers

North Korean Government Hacker Charged for Involvement in Ransomware Attacks Targeting U.S. Hospitals and Health Care Providers	北朝鮮政府のハッカーが米国の病院や医療機関を標的にしたランサムウェア攻撃への関与で起訴される
Hacking Group Known as “Andariel” Used Ransom Proceeds to Fund Theft of Sensitive Information from Defense and Technology Organizations Worldwide, Including U.S. Government Agencies	Andariel」として知られるハッキング・グループは、身代金収入を米国政府機関を含む世界中の防衛・技術組織からの機密情報窃盗の資金として使用していた。
Note: View the indictment here and view cryptocurrency seizure affidavit here.	注：起訴状はこちら、暗号通貨押収宣誓供述書はこちら。
A grand jury in Kansas City, Kansas, returned an indictment on Wednesday charging North Korean national Rim Jong Hyok for his involvement in a conspiracy to hack and extort U.S. hospitals and other health care providers, launder the ransom proceeds, and then use these proceeds to fund additional computer intrusions into defense, technology, and government entities worldwide. Their ransomware attacks prevented victim health care providers from providing full and timely care to patients.	カンザス州カンザスシティの大陪審は2日、北朝鮮国籍のリム・ジョンヒョクを、米国の病院やその他の医療提供者をハッキングして恐喝し、身代金収入を洗浄した後、これらの収入を世界中の防衛、技術、政府機関への追加的なコンピュータ侵入の資金源にするための共謀に関与したとして起訴した。彼らのランサムウェア攻撃は、被害者である医療提供者が患者に十分かつタイムリーな治療を提供することを妨げた。
“Two years ago, the Justice Department disrupted the North Korean group using Maui ransomware to hold hostage U.S. hospitals and health care providers,” said Deputy Attorney General Lisa Monaco. “Today’s criminal charges against one of those alleged North Korean operatives demonstrates that we will be relentless against malicious cyber actors targeting our critical infrastructure. This latest action, in collaboration with our partners in the U.S. and overseas, makes clear that we will continue to deploy all the tools at our disposal to disrupt ransomware attacks, hold those responsible to account, and place victims first.”	「司法省は2年前、マウイ・ランサムウェアを使って米国の病院や医療提供者を人質に取っていた北朝鮮のグループを壊滅させた。「本日の北朝鮮工作員容疑者の一人に対する刑事起訴は、われわれが重要インフラを標的とする悪質なサイバー工作員に対して容赦なく対処することを示している。米国内外のパートナーとの協力によるこの最新の行動は、ランサムウェア攻撃を妨害し、責任者の責任を追及し、被害者を第一に考えるために、我々が自由に使えるあらゆる手段を引き続き展開することを明確にするものである。"
“Rim Jong Hyok and his co-conspirators deployed ransomware to extort U.S. hospitals and health care companies, then laundered the proceeds to help fund North Korea’s illicit activities,” said Deputy Director Paul Abbate of the FBI. “These unacceptable and unlawful actions placed innocent lives at risk. The FBI and our partners will leverage every tool available to neutralize criminal actors and protect American citizens.”	「リム・ジョンヒョクとその共謀者たちは、ランサムウェアを展開して米国の病院や医療関連企業を恐喝し、その収益を北朝鮮の不正活動の資金源とするために洗浄した」とFBIのポール・アベイト副長官は述べた。「このような容認できない違法行為により、罪のない人々の命が危険にさらされた。FBIと我々のパートナーは、犯罪者を無力化し、アメリカ市民を守るために、あらゆる手段を活用していく。
“North Korean hackers developed custom tools to target and extort U.S. health care providers and used their ill-gotten gains to fund a spree of hacks into government, technology, and defense entities worldwide, all while laundering money through China,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “The indictment, seizures, and other actions announced today demonstrate the Department’s resolve to hold these malicious actors accountable, impose costs on the North Korean cyber program, and help innocent network owners recover their losses and defend themselves.”	「北朝鮮のハッカーたちは、米国のヘルスケア・プロバイダーを標的にし、恐喝するためのカスタム・ツールを開発し、その不正に得た利益を使って、世界中の政府、技術、防衛団体へのハッキングの乱発に資金を提供し、その一方で、すべて中国を通じて資金洗浄を行っていた。「本日発表された起訴、差し押さえ、およびその他の措置は、これらの悪意ある行為者の責任を追及し、北朝鮮のサイバー・プログラムにコストを課し、無実のネットワーク所有者が損失を回復し、自己防衛できるよう支援するという司法省の決意を示すものである。
“Today’s indictment underscores our commitment to protecting critical infrastructure from malicious actors and the countries that sponsor them,” said U.S. Attorney Kate E. Brubacher for the District of Kansas. “Rim Jong Hyok and those in his trade put people’s lives in jeopardy. They imperil timely, effective treatment for patients and cost hospitals billions of dollars a year. The Justice Department will continue to disrupt nation-state actors and ensure that American systems are protected in the District of Kansas and across our nation.”	「本日の起訴は、悪意ある行為者とそれを支援する国から重要インフラを守るという我々の決意を強調するものである。「リム・ジョンヒョクとその仲間たちは、人々の命を危険にさらしている。彼らは患者のタイムリーで効果的な治療を妨げ、病院に年間何十億ドルもの損害を与えている。司法省は、カンザス地区とわが国全体において、国家的行為者を混乱させ、米国のシステムが確実に守られるようにし続ける。
“The Air Force Office of Special Investigations (OSI) will continue to work alongside our law enforcement partners to root out malicious actors who seek to degrade the Department of the Air Force’s ability to protect the nation,” said Brigadier General Amy S. Bumgarner, OSI Commander. “Multiple OSI units, including one of our newly established National Security Detachments, which were established to provide counterintelligence, law enforcement and analytical support to protect technology at the earliest stages of advanced research and development, provided support to this investigation.”	「空軍特別捜査局（OSI）は、国家を守る空軍省の能力を低下させようとする悪意ある行為者を根絶するために、法執行機関のパートナーとともに引き続き取り組んでいく」と、OSI司令官のエイミー・S・バムガーナー准将は語った。「OSIの複数のユニットは、防諜、法執行、高度な研究開発の初期段階で技術を保護するための分析支援を提供するために設立された新設の国家安全保障分遣隊の1つを含め、この調査に支援を提供した。
“While North Korea uses these types of cybercrimes to circumvent international sanctions and fund its political and military ambitions, the impact of these wanton acts have a direct impact on the citizens of Kansas,” said Special Agent in Charge Stephen A. Cyrus of the FBI Kansas City Field Office. “These actions keep our families from getting the health care they need, slowing the response of our first responders, endangering our critical infrastructure and, ultimately, costing Kansans through ransoms paid, lost productivity, and money spent to rebuild our networks following cyber attacks. Today’s charges prove these cyber actors cannot act with impunity and that malicious actions against the citizens of Kansas and the rest of the United States have severe consequences.”	「北朝鮮は、国際的制裁を回避し、政治的・軍事的野心に資金を供給するために、この種のサイバー犯罪を利用しているが、このような無謀な行為の影響は、カンザス州の市民に直接的な影響を及ぼしている」と、FBIカンザスシティ支局のスティーブン・A・サイラス特別捜査官は語った。「このような行為により、私たちの家族は必要な医療を受けられず、第一応答者の対応は遅れ、重要なインフラは危険にさらされ、最終的には、身代金の支払い、生産性の低下、サイバー攻撃後のネットワーク再構築に費やされる費用を通じて、カンザス市民に犠牲を強いている。本日の起訴は、こうしたサイバー行為者が平然と行動することはできず、カンザス州市民やその他の米国市民に対する悪意ある行為が深刻な結果をもたらすことを証明するものである。
“The indictment of individuals responsible for breaching U.S. government systems, regardless of their location, demonstrates the dedication of the National Aeronautics and Space Administration Office of Inspector General (NASA-OIG), the Justice Department, and our law enforcement partners to relentlessly investigate, prosecute, and hold accountable those who believe they can operate in the shadows,” said Assistant Inspector General for Investigations Robert Steinau of NASA-OIG.	「NASA-OIGのロバート・スタイナウ監察官補は、次のように述べた。「米国政府のシステム侵入に責任のある個人が、その所在地に関係なく起訴されたことは、米国航空宇宙局監察官室（NASA-OIG）、司法省、および法執行機関のパートナーが、影で活動できると信じている者たちを執拗に調査し、起訴し、責任を負わせることに専念していることを示している。
According to court documents, Rim and his co-conspirators worked for North Korea’s Reconnaissance General Bureau, a military intelligence agency, and are known to the private sector as “Andariel,” “Onyx Sleet,” and “APT45.” Rim and his co-conspirators laundered ransom payments through China-based facilitators and used these proceeds to purchase internet infrastructure, which the co-conspirators then used to hack and exfiltrate sensitive defense and technology information from entities across the globe. Victims of this further hacking include two U.S. Air Force bases, NASA-OIG, and entities located in Taiwan, South Korea, and China. Related Andariel activity has been the subject of private sector reporting, and a cybersecurity advisory with updated technical indicators of compromise was published by the FBI, the National Security Agency, U.S. Cyber Command’s Cyber National Mission Force, the Department of the Treasury, the Department of Defense’s Cyber Crime Center, the Cybersecurity and Infrastructure Security Administration, and South Korean and United Kingdom partners today.	法廷文書によると、リムとその共謀者たちは、軍事情報機関である北朝鮮の偵察総局で働いており、民間では "Andariel"、"Onyx Sleet"、"APT45 "として知られている。リムとその共謀者は、中国を拠点とするファシリテーターを通じて身代金の支払いを洗浄し、その資金でインターネット・インフラを購入した。このさらなるハッキングの犠牲者には、2つの米空軍基地、NASA-OIG、台湾、韓国、中国の事業体が含まれる。関連するアンダリエルの活動は民間部門の報告の対象となっており、侵害の技術的指標を更新したサイバーセキュリティ勧告が、FBI、国家安全保障局、米サイバー司令部のサイバー国家任務部隊、財務省、国防総省のサイバー犯罪センター、サイバーセキュリティおよびインフラセキュリティ管理局、および韓国と英国のパートナーによって本日発表された。
The Justice Department and the FBI are also announcing the interdiction of approximately $114,000 in virtual currency proceeds of ransomware attacks and related money laundering transactions, as well as the seizure of online accounts used by co-conspirators to carry out their malicious cyber activity. The FBI previously seized approximately $500,000 in virtual currency proceeds of ransomware attacks and related money laundering transactions. In addition to these actions, the Department of State announced today a reward offer of up to $10 million for information leading to the location or identification of Rim. The State Department’s Rewards for Justice program has a standing reward offer for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act.	司法省とFBIはまた、ランサムウェア攻撃と関連するマネーロンダリング取引による仮想通貨収入約11万4000ドルの差し止めと、共謀者が悪質なサイバー活動の実行に使用したオンライン口座の押収についても発表する。FBIは以前にも、ランサムウェア攻撃および関連するマネーロンダリング取引による仮想通貨収入約50万ドルを押収している。これらの措置に加え、国務省は本日、リムの居場所や特定につながる情報に対して最高1,000万ドルの報奨金を提供することを発表した。国務省の司法のための報奨プログラムは、外国政府の指示または支配下で行動している間に、コンピュータ詐欺および乱用防止法に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行った者の特定または所在につながる情報に対する報奨を常時提供している。
Private sector partners are also taking other voluntary actions to limit the spread of Andariel-created malware. In partnership with the Department, Microsoft developed and implemented technical measures to block Andariel actors from accessing victims’ computer networks. Additionally, Mandiant is publishing research today that highlights its unique insights into Andariel’s tactics, techniques, and procedures. These actions by Microsoft and Mandiant were a significant part of the overall effort to secure networks, and they will help cybersecurity practitioners prevent, identify, and mitigate attacks from Andariel actors.	民間部門のパートナーは、アンダリエルが作成したマルウェアの拡散を制限するために、他の自主的な行動も取っている。マイクロソフト社は、同省との協力の下、アンダリエル行為者が被害者のコンピュータ・ネットワークにアクセスするのをブロックする技術的手段を開発し、実施した。さらに、Mandiantは本日、アンダリエルの戦術、技術、手順に関する独自の洞察に焦点を当てた調査結果を発表している。マイクロソフトとマンディアントによるこれらの措置は、ネットワークを保護するための全体的な取り組みの重要な一部であり、サイバーセキュリティの実務者がアンダリエル行為者からの攻撃を防止、特定、緩和するのに役立つだろう。
Maui Ransomware and Money Laundering	マウイ・ランサムウェアとマネーロンダリング
As alleged in the indictment, Rim worked for North Korea’s Reconnaissance General Bureau (RGB), a military intelligence agency, and participated in the conspiracy to target and hack computer networks of U.S. hospitals and other health care providers, encrypt their electronic files, extort a ransom payment from them, launder those payments, and use the laundered proceeds to hack targets of interest to the North Korean regime.	起訴状で主張されているように、Rimは軍事諜報機関である北朝鮮の偵察総局（RGB）で働き、米国の病院やその他の医療提供者のコンピュータ・ネットワークを標的にしてハッキングし、その電子ファイルを暗号化して身代金の支払いを強要し、その支払いを洗浄し、洗浄された収益を使って北朝鮮の政権が関心を持つ標的をハッキングするという陰謀に参加した。
The Andariel actors used custom malware, developed by the RGB, known as “Maui.” After running the maui.exe program to encrypt a ransomware victim’s computer network, the North Korean co-conspirators would extort the organization by leaving a note with a cryptocurrency address for a ransom payment.	アンダリエルの行為者は、RGBが開発した "マウイ "として知られるカスタムマルウェアを使用した。maui.exeプログラムを実行してランサムウェア被害者のコンピュータネットワークを暗号化した後、北朝鮮の共謀者は身代金支払いのための暗号通貨アドレスを記したメモを残すことで組織を恐喝した。
The Andariel actors received ransom payments in a virtual currency and then laundered the payments with the assistance of Hong Kong-based facilitators. In at least one case, these Hong Kong facilitators converted ransom funds from cryptocurrency to Chinese yuan. The yuan was then accessed from an ATM in China in the immediate vicinity of the Sino-Korean Friendship Bridge, which connects Dandong, China, and Sinuiju, North Korea.	アンダリエルの実行犯は、身代金の支払いを仮想通貨で受け取り、香港に拠点を置く仲介業者の支援を受けて支払いを洗浄した。少なくとも1つのケースでは、この香港のファシリテーターが身代金の資金を暗号通貨から中国人民元に変換していた。人民元はその後、中国の丹東と北朝鮮の新義州を結ぶ中韓友好橋のすぐ近くにある中国のATMからアクセスされた。
Exfiltration of Sensitive Data from Companies and Government Agencies	企業や政府機関からの機密データの流出
Rim and his co-conspirators used ransom proceeds to lease virtual private servers that were used to launch attacks against defense, technology, and other organizations, and to steal information from them. Victims of this further hacking included U.S. defense contractors, two U.S. Air Force bases, NASA-OIG, South Korean and Taiwanese defense contractors, and a Chinese energy company. The Andariel actors obtained initial access to victims’ networks by exploiting known vulnerabilities that had not been patched by the victims, including the widespread Log4Shell vulnerability. (Additional tactics, techniques, and procedures are available in the joint cybersecurity advisory released today.) The Andariel actors stole terabytes of information, including unclassified U.S. government employee information, old technical information related to military aircraft, intellectual property, and limited technical information pertaining to maritime and uranium processing projects.	リムとその共謀者たちは、身代金収入を使って仮想プライベートサーバーをリースし、防衛、技術、その他の組織に対する攻撃を開始し、それらの組織から情報を盗んだ。このさらなるハッキングの被害者には、米国の防衛請負業者、2つの米空軍基地、NASA-OIG、韓国と台湾の防衛請負業者、中国のエネルギー会社が含まれていた。Andarielの行為者は、被害者がパッチを適用していない既知の脆弱性（広範に存在するLog4Shellの脆弱性を含む）を悪用することで、被害者のネットワークへの最初のアクセスを得た。(その他の戦術、技術、手順については、本日発表された共同サイバーセキュリティ勧告を参照されたい）。アンダリエルの行為者は、機密扱いのない米国政府職員情報、軍用機に関する古い技術情報、知的財産、海事およびウラン処理プロジェクトに関する限定的な技術情報など、テラバイト単位の情報を盗んだ。
Assistant U.S. Attorneys Ryan Huschka and Chris Oakley for the District of Kansas and Trial Attorneys Neeraj Gupta and George Brown of the National Security Division’s National Security Cyber Section are prosecuting the case.	カンザス地区担当のライアン・ハシュカおよびクリス・オークリー両米国弁護士補と、国家安全保障部国家安全保障サイバー課のニーラジ・グプタおよびジョージ・ブラウン両裁判官がこの事件を起訴している。
The FBI continues to investigate Andariel’s hacking and money laundering activities. The Air Force Office of Special Investigations, the Department of Defense Cyber Crime Center, and NASA-OIG provided valuable assistance.	FBIは引き続きアンダリエルのハッキングとマネーロンダリング活動を捜査している。空軍特別捜査局、国防総省サイバー犯罪センター、NASA-OIGは貴重な援助を提供した。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt.	起訴は単なる申し立てに過ぎない。すべての被告は、合理的な疑いを超えて有罪が証明されるまでは無罪と推定される。
View previous joint cybersecurity advisories from CISA here.	CISAによる過去の共同サイバーセキュリティ勧告はこちらで閲覧できる。
View previous joint cybersecurity advisories from Department of Defense here.	国防総省による過去の共同サイバーセキュリティ勧告はこちら。
View previous cryptocurrency seizure announcement here.	過去の暗号通貨押収に関する発表はこちら。

 

起訴状

・[PDF] indictment

 

暗号通貨押収宣誓供述書

・[PDF] cryptocurrency seizure affidavit

 

---

 

● CISA

・2024.07.25 North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs

 

North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs	北朝鮮のサイバー集団が政権の軍事・核プログラムを推進するため世界的なスパイキャンペーンを実施
Alert Code AA24-207A	アラートコード AA24-207A
Summary	概要
The U.S. Federal Bureau of Investigation (FBI) and the following authoring partners are releasing this Cybersecurity Advisory to highlight cyber espionage activity associated with the Democratic People’s Republic of Korea (DPRK)’s Reconnaissance General Bureau (RGB) 3rd Bureau based in Pyongyang and Sinuiju:	米国連邦捜査局（FBI）と以下の認可パートナーは、平壌と新義州に拠点を置く朝鮮民主主義人民共和国（DPRK）の偵察総局（RGB）第3局に関連するサイバースパイ活動に焦点を当てるため、このサイバーセキュリティ勧告を発表する：
U.S. Cyber National Mission Force (CNMF)	米サイバー国家任務部隊（CNMF）
U.S. Cybersecurity and Infrastructure Security Agency (CISA)	米サイバーセキュリティ・インフラセキュリティ庁（CISA）
U.S. Department of Defense Cyber Crime Center (DC3)	米国防総省サイバー犯罪センター（DC3）
U.S. National Security Agency (NSA)	米国国家安全保障局（NSA）
Republic of Korea’s National Intelligence Service (NIS)	大韓民国国家情報院（NIS）
Republic of Korea’s National Police Agency (NPA)	韓国の警察庁（NPA）
United Kingdom’s National Cyber Security Centre (NCSC)	英国国家サイバーセキュリティセンター（NCSC）
The RGB 3rd Bureau includes a DPRK (aka North Korean) state-sponsored cyber group known publicly as Andariel, Onyx Sleet (formerly PLUTONIUM), DarkSeoul, Silent Chollima, and Stonefly/Clasiopa. The group primarily targets defense, aerospace, nuclear, and engineering entities to obtain sensitive and classified technical information and intellectual property to advance the regime’s military and nuclear programs and ambitions. The authoring agencies believe the group and the cyber techniques remain an ongoing threat to various industry sectors worldwide, including but not limited to entities in their respective countries, as well as in Japan and India. RGB 3rd Bureau actors fund their espionage activity through ransomware operations against U.S. healthcare entities.	RGB第3局には、Andariel、Onyx Sleet（旧PLUTONIUM）、DarkSeoul、Silent Chollima、Stonefly/Clasiopaとして公に知られているDPRK（別名北朝鮮）国家支援サイバーグループが含まれている。このグループは、主に防衛、航空宇宙、原子力、エンジニアリングの事業体を標的にし、政権の軍事・核プログラムや野望を推進するための機密技術情報や知的財産を入手している。認可機関は、このグループとサイバー技術は、それぞれの国や日本、インドの事業体を含むがこれに限定されない、世界中の様々な産業部門に対する継続的な脅威であり続けていると考えている。RGB第3局の行為者は、米国の医療事業体に対するランサムウェアの操作を通じてスパイ活動の資金を調達している。
The actors gain initial access through widespread exploitation of web servers through known vulnerabilities in software, such as Log4j, to deploy a web shell and gain access to sensitive information and applications for further exploitation. The actors then employ standard system discovery and enumeration techniques, establish persistence using Scheduled Tasks, and perform privilege escalation using common credential stealing tools such as Mimikatz. The actors deploy and leverage custom malware implants, remote access tools (RATs), and open source tooling for execution, lateral movement, and data exfiltration.	この行為者は、Log4jのようなソフトウェアの既知の脆弱性を利用したウェブサーバーの広範な悪用を通じて最初のアクセスを獲得し、ウェブシェルを展開し、さらなる悪用のために機密情報やアプリケーションへのアクセスを獲得する。その後、標準的なシステム発見と列挙のテクニックを採用し、スケジュールされたタスクを使用して永続性を確立し、Mimikatzのような一般的な資格情報窃取ツールを使用して特権の昇格を実行する。行為者は、カスタムマルウェアインプラント、リモートアクセスツール（RAT）、オープンソースツールなどを展開し、実行、横展開、データ流出などに活用する。
The actors also conduct phishing activity using malicious attachments, including Microsoft Windows Shortcut File (LNK) files or HTML Application (HTA) script files inside encrypted or unencrypted zip archives.	行為者はまた、暗号化または非暗号化zipアーカイブ内のMicrosoft Windowsショートカットファイル（LNK）ファイルやHTMLアプリケーション（HTA）スクリプトファイルなど、悪意のある添付ファイルを使用したフィッシング活動を行う。
The authoring agencies encourage critical infrastructure organizations to apply patches for vulnerabilities in a timely manner, protect web servers from web shells, monitor endpoints for malicious activities, and strengthen authentication and remote access protections. While not exclusive, entities involved in or associated with the below industries and fields should remain vigilant in defending their networks from North Korea state-sponsored cyber operations:	認可機関は、重要インフラ組織に対し、脆弱性に対するパッチを適時に適用すること、ウェブシェルからウェブサーバーを保護すること、悪意のある行為についてエンドポイントを監視すること、認証とリモートアクセスの保護を強化することを奨励している。排他的なものではないが、以下の産業や分野に関わる事業体は、北朝鮮の国家支援によるサイバー活動からネットワークを守るために警戒を怠らないべきである：
For additional information on DPRK state-sponsored malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage.	北朝鮮が支援する悪質なサイバー活動に関する追加情報については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照のこと。

 

・[PDF] AA24-207A North Korea Cyber Group Conducts Global Espionage Campaign to Advance Regime’s Military and Nuclear Programs

 

---

 

国務省...

● U.S. Department of State

・2024.07.25 Rewards for Justice – Reward Offer for Information on North Korean Malicious Cyber Actor Targeting U.S. Critical Infrastructure

 

Rewards for Justice – Reward Offer for Information on North Korean Malicious Cyber Actor Targeting U.S. Critical Infrastructure	司法のための報奨金 - 米国の重要インフラを標的とする北朝鮮の悪質なサイバー行為者に関する情報に対する報奨金の提供について
The U.S. Department of State’s Rewards for Justice (RFJ) program, administered by the Diplomatic Security Service, is offering a reward of up to $10 million for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in certain malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act.	外交安全保障局（Diplomatic Security Service）が運営する米国国務省の司法報奨（Rewards for Justice：RFJ）プログラムは、外国政府の指示または支配下で行動しながら、コンピューター詐欺・乱用防止法（Computer Fraud and Abuse Act）に違反して米国の重要インフラに対して特定の悪質なサイバー活動を行った人物の特定または所在につながる情報に対して、最高1000万ドルの報奨金を提供する。
Rim Jong Hyok is a national of the Democratic People’s Republic of Korea (DPRK) who is associated with a malicious cyber group known as Andariel. The Andariel group is controlled by the DPRK’s military intelligence agency, the Reconnaissance General Bureau, which has primary responsibility for the DPRK’s malicious cyber activities and is also involved in the DPRK’s illicit arms trade.	リム・ジョンヒョクは朝鮮民主主義人民共和国（DPRK）の国民であり、アンダリエルとして知られる悪質なサイバー集団に関係している。アンダリエル・グループは朝鮮民主主義人民共和国の軍事情報機関である偵察総局によって全般統制されており、同総局は朝鮮民主主義人民共和国の悪質なサイバー活動の主要な責任を負うとともに、朝鮮民主主義人民共和国の不正武器取引にも関与している。
Andariel’s targets include foreign businesses, government entities, and the defense industry.	アンダリエルの標的は、外国企業、政府事業体、防衛産業などである。
Rim and others conspired to hack into the computer systems of U.S. hospitals and other healthcare providers, install Maui ransomware, and extort ransoms. The ransomware attacks encrypted victims’ computers and servers used for medical testing or electronic medical records and disrupted healthcare services. These malicious cyber actors then used the ransom payments to fund malicious cyber operations targeting U.S. government entities and U.S. and foreign defense contractors, among others. In one computer intrusion operation that began in November 2022, the malicious cyber actors hacked a U.S.-based defense contractor from which they extracted more than 30 gigabytes of data, including unclassified technical information regarding material used in military aircraft and satellites, much of which was from 2010 or earlier.	リムらは共謀して、米国の病院やその他の医療プロバイダのコンピュータシステムに侵入し、マウイ・ランサムウェアをインストールし、身代金を要求した。ランサムウェア攻撃は、医療検査や電子カルテに使われる被害者のコンピューターやサーバーを暗号化し、医療サービスを妨害した。これらの悪意あるサイバー行為者はその後、身代金の支払いを資金源として、米国政府事業体や米国内外の防衛関連企業などを標的とした悪意あるサイバー作戦を展開した。2022年11月に始まったあるコンピューターへの抽出作戦では、悪意のあるサイバー行為者は米国を拠点とする防衛請負業者をハッキングし、そこから軍用機や人工衛星に使用される材料に関する未分類の技術情報を含む30ギガバイト以上のデータを抽出したが、その多くは2010年以前のものであった。
U.S. law enforcement investigators have documented that Andariel actors victimized five healthcare providers, four U.S.-based defense contractors, two U.S. Air Force bases, and the National Aeronautics and Space Administration’s Office of Inspector General.	米国の法執行機関の調査官によると、アンダリエルの行為者は5つの医療プロバイダ、4つの米国を拠点とする防衛請負業者、2つの米空軍基地、および米航空宇宙局監察官室を被害者としている。
This action underscores the United States’ continued efforts to address the DPRK’s malicious cyber activity against critical infrastructure as well as prevent and disrupt the DPRK’s ability to generate illicit revenue through malicious cyber activity, which it uses to fund its unlawful WMD and ballistic missile programs.	今回の措置は、重要なインフラに対する北朝鮮の悪質なサイバー活動に対処するとともに、悪質なサイバー活動を通じて不正な収入を得る北朝鮮の能力を阻止し、混乱させ、それを違法な大量破壊兵器や弾道ミサイル計画の資金源とする米国の継続的な取り組みを強調するものである。
We encourage anyone with information on the malicious cyber activity of Rim Jong Hyok, Andariel, and associated individuals, entities, and activities to contact Rewards for Justice via the Tor-based tips-reporting channel at: [onion] (Tor browser required).	我々は、リム・ジョンヒョク、アンダリエル、および関連する個人、事業体、活動の悪質なサイバー活動に関する情報を持つ人は誰でも、Torベースの情報報告チャンネル[onion] （Torブラウザが必要）を通じて、司法のための報奨に連絡することを奨励する。
More information about this reward offer is located on the Rewards for Justice website at [web].	この報奨オファーの詳細は、Rewards for Justiceのウェブサイト [web] に掲載されている。
Since its inception in 1984, RFJ has paid in excess of $250 million to more than 125 people across the globe who provided actionable information that helped resolve threats to U.S. national security. Follow us on Twitter at [web].	1984年の創設以来、RFJは米国の国家安全保障に対する脅威の解決に役立つ実用的な情報を提供した世界中の125人以上に2億5000万ドル以上を支払ってきた。ツイッター [web] でフォローしてほしい。

 

 

---

 

マイクロソフト

● Microsoft - Blog

・2024.07.25 Onyx Sleet uses array of malware to gather intelligence for North Korea

Onyx Sleet uses array of malware to gather intelligence for North Korea	Onyx Sleet、北朝鮮の情報収集にマルウェアの数々を使う
On July 25, 2024, the United States Department of Justice (DOJ) indicted an individual linked to the North Korean threat actor that Microsoft tracks as Onyx Sleet. Microsoft Threat Intelligence collaborated with the Federal Bureau of Investigation (FBI) in tracking activity associated with Onyx Sleet. We will continue to closely monitor Onyx Sleet’s activity to assess changes following the indictment.	2024年7月25日、米国司法省（DOJ）は、マイクロソフトがOnyx Sleetとして追跡している北朝鮮の脅威行為者に関連する個人を起訴した。Microsoft Threat Intelligenceは、Onyx Sleetに関連する活動の追跡において連邦捜査局（FBI）と協力した。我々は、起訴後の変化を評価するために、Onyx Sleetの活動を注意深く監視し続ける。
First observed by Microsoft in 2014, Onyx Sleet has conducted cyber espionage through numerous campaigns aimed at global targets with the goal of intelligence gathering. More recently, it has expanded its goals to include financial gain. This threat actor operates with an extensive set of custom tools and malware, and regularly evolves its toolset to add new functionality and to evade detection, while keeping a fairly uniform attack pattern. Onyx Sleet’s ability to develop a spectrum of tools to launch its tried-and-true attack chain makes it a persistent threat, particularly to targets of interest to North Korean intelligence, like organizations in the defense, engineering, and energy sectors.	2014年にマイクロソフトによって初めて観測されたOnyx Sleetは、情報収集を目的としたグローバルな標的を狙った数々のキャンペーンを通じて、サイバースパイ活動を行ってきた。最近では、その目標を金銭的な利益にも拡大している。この脅威行為者は、広範なカスタムツールとマルウェアのセットで活動し、かなり均一な攻撃パターンを維持しながら、新しい機能を追加し、検出を回避するために定期的にツールセットを進化させている。Onyx Sleetは、試行錯誤を重ねた攻撃チェーンを展開するために、さまざまなツールを開発する能力を備えているため、特に防衛、エンジニアリング、エネルギー分野の組織など、北朝鮮の諜報機関が関心を寄せるターゲットにとって、持続的な脅威となっている。
Microsoft tracks campaigns related to Onyx Sleet and directly notifies customers who have been targeted or compromised, providing them with the necessary information to help secure their environments. In this blog, we will share intelligence about Onyx Sleet and its historical tradecraft and targets, as well as our analysis of recent malware campaigns, with the goal of enabling the broader community to identify and respond to similar campaigns. We also provide protection, detection, and hunting guidance to help improve defenses against these attacks.	マイクロソフトは、Onyx Sleetに関連するキャンペーンを追跡し、標的や侵害を受けた顧客に直接通知することで、顧客の環境を保護するために必要な情報を提供している。このブログでは、Onyx Sleetとその過去の手口や標的に関するインテリジェンス、および最近のマルウェアキャンペーンの分析を共有し、より広範なコミュニティが同様のキャンペーンを特定し、対応できるようにすることを目的としている。また、このような攻撃に対する防御の改善を支援するため、防御、検知、ハンティングに関するガイダンスも提供する。

 

 

---

 

グーグル...

● Google Cloud - Blog

・2024.07.26 APT45: North Korea’s Digital Military Machine

APT45: North Korea’s Digital Military Machine	APT45：北朝鮮のデジタル軍事マシン
Executive Summary	エグゼクティブサマリー
・APT45 is a long-running, moderately sophisticated North Korean cyber operator that has carried out espionage campaigns as early as 2009.	・APT45は、2009年の時点でスパイキャンペーンを実施していた、長期にわたって活動する中程度に洗練された北朝鮮のサイバーオペレーターである。
・APT45 has gradually expanded into financially-motivated operations, and the group’s suspected development and deployment of ransomware sets it apart from other North Korean operators.	・APT45は徐々に金銭的な動機に基づく活動へと拡大しており、ランサムウェアの開発と展開が疑われていることから、他の北朝鮮工作員とは一線を画している。
・APT45 and activity clusters suspected of being linked to the group are strongly associated with a distinct genealogy of malware families separate from peer North Korean operators like TEMP.Hermit and APT43.	・APT45および同グループとの関連が疑われる活動クラスターは、TEMP.HermitやAPT43のような北朝鮮の同業者とは別のマルウェアファミリーの明確な系譜と強く関連している。
・Among the groups assessed to operate from the Democratic People's Republic of Korea (DPRK), APT45 has been the most frequently observed targeting critical infrastructure.	・朝鮮民主主義人民共和国（DPRK）から活動するとアセスメントされたグループの中で、APT45は重要インフラを標的とした活動が最も頻繁に観測されている。
Overview	概要
Mandiant assesses with high confidence that APT45 is a moderately sophisticated cyber operator that supports the interests of the DPRK. Since at least 2009, APT45 has carried out a range of cyber operations aligned with the shifting geopolitical interests of the North Korean state. Although the group's earliest observed activities consisted of espionage campaigns against government agencies and defense industries, APT45 has expanded its remit to financially-motivated operations, including targeting of the financial vertical; we also assess with moderate confidence that APT45 has engaged in the development of ransomware. Additionally, while multiple DPRK-nexus groups focused on healthcare and pharmaceuticals during the initial stages of the COVID-19 pandemic, APT45 has continued to target this vertical longer than other groups, suggesting an ongoing mandate to collect related information. Separately, the group has conducted operations against nuclear-related entities, underscoring its role in supporting DPRK priorities.	Mandiantは、APT45は朝鮮民主主義人民共和国の利益を支援する中程度に洗練されたサイバーオペレーターであると高い信頼性をもってアセスメントしている。少なくとも2009年以降、APT45は北朝鮮国家の地政学的利益の変化に沿ったさまざまなサイバー作戦を実施してきた。APT45の初期の活動は、政府機関や防衛産業に対するスパイキャンペーンであったが、APT45は金融業界を標的とするなど、金融を動機とする活動へとその範囲を拡大している。さらに、COVID-19のパンデミックの初期段階では、複数のDPRK関連グループがヘルスケアと医薬品に焦点を当てていたが、APT45は他のグループよりも長くこの分野をターゲットにし続けており、関連情報を収集する継続的な任務があることを示唆している。これとは別に、同グループは核関連事業体に対する作戦も実施しており、北朝鮮の優先事項を支援する役割を明確にしている。