北朝鮮のハッキング集団「Lazarus」、攻撃初期の手口など–NCC Group分析

今回は「北朝鮮のハッキング集団「Lazarus」、攻撃初期の手口など–NCC Group分析」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 「Lazarus」と呼ばれるハッキンググループは、北朝鮮による重大なサイバーセキュリティ脅威の1つだとみられている。このグループは最近、大規模な暗号資産(仮想通貨)の窃盗事件を起こして、米国政府の注意を引いている。

 NCC Groupは、Lazarusが攻撃の初期アクセスフェーズで最近使っているツールや手口についてまとめたブログ記事を公開している。このグループの手口には、「LinkedIn」でのソーシャルエンジニアリングや、「WhatsApp」を使った米防衛関連企業を標的としたメッセージング、悪質なダウンローダーである「LCPDot」のインストールなどがある。

 NCC Groupが作成したリストは、すでにLazarusについて明らかになっているさまざまな情報をベースにしたものだ。Lazarusとその傘下グループは、LinkedInを利用して標的をだまし、マクロを仕込んだ「Word」文書などを使って悪質なファイルをインストールさせる手口で知られている。

 2022年2月には、Qualysの研究者が、Lazarusが米国の防衛関連企業であるLockheed Martinの名前をおとりにして、Word文書の求人情報を開かせる手口を使っていることを明らかにしている。この文書には、マルウェアをインストールし、タスクのスケジュールを利用してシステム上に常駐させる悪質なマクロが組み込まれている。

 Lazarusは以前から、求人情報を利用してプロフェッショナルの求職者にアプローチするために、LinkedInを利用することで知られている。F-Secureの研究グループは2020年、このグループが、ブロックチェーンテクノロジー企業の求人情報を装った悪質な文書を、標的となった組織のシステム管理者のLinkedInアカウントに送信していたと報告している。

 2022年4月には、米財務省が、「Play-to-Earn」(遊んで稼ぐ)ゲームを提供する企業であるAxie Finityが利用していたサイドチェーンから、6億ドル(約760億円)相当の暗号資産を盗んだ事件とLazarusを関連付けている。

 また米連邦捜査局(FBI)、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米財務省は、同じく4月に、Lazarusがスピアフィッシング攻撃やマルウェアを使って、暗号資産取引所や暗号資産業界から暗号資産を盗もうとする活動に力を入れていると連名で警告を発した。

 NCC Groupは最近、偽のLockheed Martinの従業員のプロフィールを使って、米国の政府や防衛産業の求人情報を扱うサイトを模倣したドメインに掲載した文書に誘導し、標的に偽の求人情報をつかませる手口が使われていることを明らかにしている。

 このウェブサイトには、Microsoftが最近講じたOffice文書でのマクロ使用を制限する取り組みを回避するために、Lazarusのコマンド&コントロールサーバーと接続させる、悪意のある文書が入ったZIPファイルが掲載されていた。

 NCC Groupは、「このウェブサイトには、Microsoftが最近導入したOfficeのマクロに関する修正で追加されたセキュリティ制御を覆すために、悪質な文書が入ったZIPファイルが掲載されていた」と述べている。

 また同社は、ダウンローダーLCPDotの亜種のサンプルを入手している。このダウンローダーは、侵害したホストをコマンド&コントロールサーバーに登録した後、別のペイロードを受け取る。それを復号し、メモリーに読み込むという。

 NCC Groupは今回のレポートの中で、企業がハッカーに侵害されていることを示している可能性があるドメインなどをいくつか挙げている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「IT予算は増やさないが、DXはやらないといけない」–リミニストリートがCFOに意識調査
IT関連
2021-08-03 21:23
企業による仮想通貨の採用–二の足を踏む要因と考えられる利点
IT関連
2022-03-01 11:20
我々を殺すのはAIではなく「何もしないこと」、シリコンバレーは災害やパンデミックといった現実の問題を解決する努力をすべきだ
その他
2021-04-07 15:47
スマートシティ創造に向けたアクセラレータ「SmartCityX」が1年目の成果を発表、6つの共創事例を紹介
VC / エンジェル
2021-06-25 04:30
ZHD、株主総会を完全オンライン化 2022年に
IT関連
2021-08-12 22:15
ガートナー、未来のアプリケーションに関する2021年の展望を発表
IT関連
2021-02-20 06:59
DXジャーニーマップとは何か–変革の船出に当たって携えるべき海図
IT関連
2022-02-17 08:49
自動運転トラックのEmbarkがSPAC合併で上場へ、評価額は約5770億円
モビリティ
2021-06-25 23:54
新型コロナウイルス感染症がサイバーセキュリティを変える–RSA Security
IT関連
2021-01-28 23:38
中日新聞、個人情報14万件漏えいか 委託先のサーバに不正アクセス
セキュリティ
2021-06-26 15:46
週刊「Honda NSX」17日創刊 来年生産終了する“国産スーパーカー”を8分の1サイズで
くらテク
2021-08-04 15:57
つぎはぎされた「フランケンクラウド」モデルは最大のセキュリティーリスクなのか
セキュリティ
2021-03-24 15:36
メッシ、契約金の一部を暗号資産で受け取り 移籍先の仏サッカークラブが発表
ネットトピック
2021-08-14 14:49
Google Cloud、ストレージやデータの一部サービス値上げへ–10月から
IT関連
2022-03-17 05:17