「Lazarus」と呼ばれるハッキンググループは、北朝鮮による重大なサイバーセキュリティ脅威の1つだとみられている。このグループは最近、大規模な暗号資産(仮想通貨)の窃盗事件を起こして、米国政府の注意を引いている。
NCC Groupは、Lazarusが攻撃の初期アクセスフェーズで最近使っているツールや手口についてまとめたブログ記事を公開している。このグループの手口には、「LinkedIn」でのソーシャルエンジニアリングや、「WhatsApp」を使った米防衛関連企業を標的としたメッセージング、悪質なダウンローダーである「LCPDot」のインストールなどがある。
NCC Groupが作成したリストは、すでにLazarusについて明らかになっているさまざまな情報をベースにしたものだ。Lazarusとその傘下グループは、LinkedInを利用して標的をだまし、マクロを仕込んだ「Word」文書などを使って悪質なファイルをインストールさせる手口で知られている。
2022年2月には、Qualysの研究者が、Lazarusが米国の防衛関連企業であるLockheed Martinの名前をおとりにして、Word文書の求人情報を開かせる手口を使っていることを明らかにしている。この文書には、マルウェアをインストールし、タスクのスケジュールを利用してシステム上に常駐させる悪質なマクロが組み込まれている。
Lazarusは以前から、求人情報を利用してプロフェッショナルの求職者にアプローチするために、LinkedInを利用することで知られている。F-Secureの研究グループは2020年、このグループが、ブロックチェーンテクノロジー企業の求人情報を装った悪質な文書を、標的となった組織のシステム管理者のLinkedInアカウントに送信していたと報告している。
2022年4月には、米財務省が、「Play-to-Earn」(遊んで稼ぐ)ゲームを提供する企業であるAxie Finityが利用していたサイドチェーンから、6億ドル(約760億円)相当の暗号資産を盗んだ事件とLazarusを関連付けている。
また米連邦捜査局(FBI)、米サイバーセキュリティ・インフラセキュリティ庁(CISA)、米財務省は、同じく4月に、Lazarusがスピアフィッシング攻撃やマルウェアを使って、暗号資産取引所や暗号資産業界から暗号資産を盗もうとする活動に力を入れていると連名で警告を発した。
NCC Groupは最近、偽のLockheed Martinの従業員のプロフィールを使って、米国の政府や防衛産業の求人情報を扱うサイトを模倣したドメインに掲載した文書に誘導し、標的に偽の求人情報をつかませる手口が使われていることを明らかにしている。
このウェブサイトには、Microsoftが最近講じたOffice文書でのマクロ使用を制限する取り組みを回避するために、Lazarusのコマンド&コントロールサーバーと接続させる、悪意のある文書が入ったZIPファイルが掲載されていた。
NCC Groupは、「このウェブサイトには、Microsoftが最近導入したOfficeのマクロに関する修正で追加されたセキュリティ制御を覆すために、悪質な文書が入ったZIPファイルが掲載されていた」と述べている。
また同社は、ダウンローダーLCPDotの亜種のサンプルを入手している。このダウンローダーは、侵害したホストをコマンド&コントロールサーバーに登録した後、別のペイロードを受け取る。それを復号し、メモリーに読み込むという。
NCC Groupは今回のレポートの中で、企業がハッカーに侵害されていることを示している可能性があるドメインなどをいくつか挙げている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。