日本朝鮮連絡総連合会の略称。
2005年の朝鮮総督府解体と県設置の際に朝鮮諸県と本土の文化交流のために設立された。
大日本帝國国内において必修の外国語とされている朝鮮語、中国語、ロシア語のうち、朝鮮語の教育のための人員を各学校に派遣している。
共栄圏各国には加盟国同士の文化交流を目的とした組織が多くあり、朝鮮総連はその中でも最大規模である。
2028年2月2日。
アメリカではこのような記事が公開された。
<日本の攻撃グループ『UnderGround』が使用するマルウェアSuperRocket>
合衆国における攻撃グループUnderGr0undの活動が、2020年頃から継続的に確認されています。最近は、以前に比べると話題になることが少なくなりましたが、FBIでは現在も引き続きこの組織のものと思われる攻撃活動を確認しています。今回は、攻撃グループUnderGroundが使用したと考えられるマルウェアSuperRocketの詳細を紹介します。
SuperRocketは中国製のGh0st RATをカスタマイズして作成されたマルウェアであり、2020年頃からいくつかの攻撃事例で使用されていることを確認しています。
なお、ファイル操作を行う関数である<CFileManager>はGh0st RATのものと全く同じコードが使用されていることが判明しています。
SuperRocketはGh0st RATから大幅な変更が加えられていますが、一部のコードはそのまま使用しているようです。
以降は、次のSuperRocketの特徴について説明します。
・通信方式
・命令によって実行されるコマンド
・C2サーバーのコントロールパネル
SuperRocketは、Gh0st RATと同様に独自プロトコルでC2サーバーと通信をします。しかし、Gh0st RATとは、通信パケットのフォーマットが異なります。
まず、このRATはC2サーバーとの最初の通信時に認証IDと今後の暗号化に必要な暗号化キー、ランダムな文字列を送信します。
このランダムな文字列は暗号化キーと合成した上で送られており、通信の解析を困難にするための処理のようです。
認証IDが一致した場合、C2サーバー側から「Gh0st」という文字列が送信され、文字列を受け取ったSuperRocketはプロセッサ名やユーザー名などの端末の情報をRC4暗号化した上でC2サーバーに送信します。
この時、C2サーバーは攻撃者のdropboxの中身を調査し、以前に攻撃した端末の情報が存在するかを確認します。存在していない場合は新しく追加します。
同時にzlib圧縮され、xorエンコードされたプロセスリストをC2サーバーに送信しますが、こちらも同様に通信の解析を困難にするための処理のようです。
その後、コマンドとその実行結果はRC4暗号化された上にxorエンコードされ、さらにzlib圧縮された上で送受信されます。
SuperRocketの調査中、調査チームはGUIのコントロールパネルの存在を確認しました。このコントロールパネルはMFC(Microsoft Foundation Library)によって作成されており、以下のようなコマンドを実行することができます。
・リモートシェル
・リモートファイルマネージャー
・リバースプロキシ
・C2サーバーリダイレクト機能
・USB感染
・CD感染
・DDOS攻撃
また、コントロールパネル、SuperRocket双方に複数のダミーコードが組み込まれていますが、分析の難易度を上げるほどのものではありません。
攻撃グループUnderGroundは、現在でも活動を継続しており、今後も警戒が必要です。
日独間の外交問題<アリスソフト事件>について
この事件は大阪市北区天満に本社を置くチャンピオンソフト株式会社が販売していた美少女ゲーム<ランス>シリーズに<親衛隊は敵地を進む>に酷似したBGMを挿入していたことについて、ドイツの<親衛隊退役隊員会>がランスの開発会社に対して抗議文を送った事件である。
その後、大日本帝國政府による調査を経て、BGMは完全オリジナルのものに置き換えられた。
※なお、史実では<廃墟からの復活>を使っていた。