最終更新日: 2021年08月06日
北朝鮮政府の関与が疑われているサイバー攻撃グループ。
主に銀行、ATM、暗号通貨取引所、SWIFTネットワークを含む金融取引ネットワークに対して金銭的利益を目的に活動している。 ランサムウェアの運用に従事している兆候はいくつかあるが、現時点でそれを裏付ける証拠は無い。
主に暗号通貨ウォレットの盗難に焦点を当てており、すでに数億ドルを稼いでいると推測されている。 このキャンペーンは、CryptoMimic、Dangerous Password、LeeryTurtleとしても知られている。
https://www.clearskysec.com/cryptocore-lazarus-attribution/
Lazarus が、悪意のあるHTAファイルとzlibオブジェクトをビットマップ形式のファイルに埋め込み、PNG形式ファイルに圧縮変換してドキュメントに張り付けるという攻撃手法を用いている。これは、セキュリティソフトウェアの検出を回避することが目的だと見られている。
https://blog.malwarebytes.com/malwarebytes-news/2021/04/lazarus-apt-conceals-malicious-code-within-bmp-file-to-drop-its-rat/
Lazarus が、「Vyveva」と呼ばれるバックドアを用いて南アフリカの貨物物流会社を狙った攻撃を行った。「Vyveva」は Tor ネットワークを介して C&C サーバと通信する。
https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-vyveva-malware-to-attack-freighters/
JPCERTは、国内で確認した攻撃グループLazarusの攻撃オペレーションで使用されたマルウェア(VSingle、ValeforBeta)、および侵入したネットワーク内部で使用したツールを紹介した。
https://blogs.jpcert.or.jp/ja/2021/03/Lazarus_malware3.html
Lazarus Groupは、韓国を標的にしたサプライチェーン攻撃のキャンペーンを行った。 Esetは韓国企業から盗まれた証明書の悪用を明らかにした。
https://www.zdnet.com/article/lazarus-malware-strikes-south-korean-supply-chains/
JPCERT/CCは、Lazarus Groupが日本の組織をターゲットにしていることを確認した。 侵入と侵害範囲拡大に PE 変換した python tool "SMBMAP" を使用している。
https://gbhackers.com/lazarus-apt-hackers-attack-japanese-organization/
Lazarus Groupは、米国、英国、ドイツ、シンガポール、オランダ、日本、およびその他の国で暗号通貨組織を標的に、求人を装ったフィッシングキャンペーンを展開している。
https://www.bleepingcomputer.com/news/security/lazarus-hackers-target-cryptocurrency-orgs-with-fake-job-offers/
イスラエルは、Lazarus Groupによる防衛産業へのサイバー攻撃を阻止したと語った。 イスラエル国防省によると、Lazarus Groupは防衛産業の労働者に求人を装ったメールを送り、ネットワークに侵入して機密情報を収集しようとしたという。
https://www.reuters.com/article/us-israel-cyber-attack/israel-says-it-thwarted-foreign-cyber-attack-on-defence-industry-idUSKCN25825T
Lazarus Groupがロシアで活動するようになったことが明らかになった。 攻撃者は、ウォレットや取引所にアクセスするための情報を盗むために、暗号通貨トレーダーのアプリケーションを介して攻撃している。
https://www.ehackingnews.com/2020/07/experts-found-targeted-attacks-by.html
Kasperskyの研究者はLazarus Groupの使用する、今まで確認されていなかったVHDマルウェアを検出した。 当該マルウェアは被害者コンピューターのIPアドレスリストと、管理者権限を持つアカウントの資格情報が自由に使用できることがわかった。 そのデータをSMBサービスへのブルートフォース攻撃に使用し、横展開を行う。
https://www.kaspersky.com/blog/lazarus-vhd-ransomware/36559/
Lazarus Groupは、世界中の企業に侵入し、機密の顧客データを盗み、ランサムウェアを配布することを目的として、新しいマルチプラットフォームマルウェアフレームワーク(MATA)を拡散した。 MATAマルウェアフレームワークは、Windows、Linux、およびmacOSオペレーティングシステムをターゲットにすることができ、幅広い高度な機能を備えている。
https://www.questechie.com/2020/07/north-korea-linked-hackers-deploy-mata.html
Lazarus Groupは、米国とヨーロッパの大手小売業者からクレジットカード情報を少なくとも1年間盗んでいると、新しい調査結果が明らかになった。
https://www.bleepingcomputer.com/news/security/north-korean-hackers-linked-to-credit-card-stealing-attacks-on-us-stores/
Lazarus Groupは、6月21日にCOVID-19をテーマにしたフィッシングキャンペーンを計画していると伝えられている。 シンガポール、日本、韓国、インド、米国、英国がキャンペーンの標的にされている。
https://www.zdnet.com/article/north-korean-state-hackers-reportedly-planning-covid-19-phishing-campaign-targeting-5m-across-six-nations/
ESETは、2019年9月から12月にかけて欧州や中東の航空宇宙・軍事企業を狙った標的型攻撃を発見し、Operation In(ter)ceptionと命名した。 標的、開発環境、使用された解析防止手法の類似性など、Lazarus Groupとの関連性を示唆するいくつかの痕跡を見つけている。
https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/
米国政府はLazarus Groupが使用するCOPPERHEDGE、TAINTEDSCRIBE、PEBBLEDASHと呼ばれるマルウェアに関する情報を発表した。 発表によると、ターゲットシステムの機密情報の偵察および窃取が可能とのこと。
https://thehackernews.com/2020/05/fbi-north-korean-malware.html
Lazarus Groupは、暗号通貨を盗むための取り組みを強化している。 COVID-19パンデミックによって引き起こされた世界的な経済的困難を利用して、サイバー犯罪活動の利益を増やしている。
https://cryptopotato.com/north-koreas-lazarus-group-reportedly-increasing-cryptocurrency-cybercrime-amid-covid-19-outbreak/
Lazarus Groupは、Macオペレーティングシステム用に設計したDaclsRATの新しい亜種を作成した。 Malwarebytesの分析によると、Mac用のDaclsRATは、MinaOTPと呼ばれるmacOS用の2要素認証アプリケーションに偽装して普及しているとのこと。
https://threatpost.com/lazarus-macos-spyware-2fa-application/155532/
インド原子力発電公社(NPCIL)は、Lazarus Groupに由来すると思われるマルウェアがクダンクラム原子力発電所の管理ネットワークに感染したことを認めている。
https://securityboulevard.com/2019/10/lazarus-group-may-have-hacked-indian-nuclear-power-plant/
Lazarusは、ATMシステムに感染し、マシンに挿入された支払いカードからデータを記録および盗むために使用できる新しいマルウェアを開発している。 カスペルスキーの専門家によると、ATMDtrackという名前のこの新しいマルウェアは、2018年の夏の終わりからインドの銀行のネットワークで発見されている。
https://www.zdnet.com/article/new-north-korean-malware-targeting-atms-spotted-in-india/
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。