最終更新日: 2021年08月06日

概要

北朝鮮政府の関与が疑われているサイバー攻撃グループ。
主に銀行、ATM、暗号通貨取引所、SWIFTネットワークを含む金融取引ネットワークに対して金銭的利益を目的に活動している。 ランサムウェアの運用に従事している兆候はいくつかあるが、現時点でそれを裏付ける証拠は無い。

過去の活動

• ・Operation Dream Job
• ・AppleJeus
• ・Operation In(ter)ception
• ・CryptoCore(別名：CryptoMimic、Dangerous Password、LeeryTurtle)

関連するマルウェア

• ・Torisma
• ・LCPDot
• ・Dtrack
• ・BLINDINGCAN
• ・DaclsRAT
• ・COPPERHEDGE
• ・TAINTEDSCRIBE
• ・PEBBLEDASH
• ・Fallchill
• ・Vyveva

動向

Attributing CryptoCore Attacks Against Crypto Exchanges to LAZARUS (North Korea) (2021/05/24)

主に暗号通貨ウォレットの盗難に焦点を当てており、すでに数億ドルを稼いでいると推測されている。 このキャンペーンは、CryptoMimic、Dangerous Password、LeeryTurtleとしても知られている。
https://www.clearskysec.com/cryptocore-lazarus-attribution/

Lazarus APT conceals malicious code within BMP image to drop its RAT(2021/04/19)

Lazarus が、悪意のあるHTAファイルとzlibオブジェクトをビットマップ形式のファイルに埋め込み、PNG形式ファイルに圧縮変換してドキュメントに張り付けるという攻撃手法を用いている。これは、セキュリティソフトウェアの検出を回避することが目的だと見られている。
https://blog.malwarebytes.com/malwarebytes-news/2021/04/lazarus-apt-conceals-malicious-code-within-bmp-file-to-drop-its-rat/

North Korean hackers use new Vyveva malware to attack freighters(2021/04/08)

Lazarus が、「Vyveva」と呼ばれるバックドアを用いて南アフリカの貨物物流会社を狙った攻撃を行った。「Vyveva」は Tor ネットワークを介して C&C サーバと通信する。
https://www.bleepingcomputer.com/news/security/north-korean-hackers-use-new-vyveva-malware-to-attack-freighters/

日本の組織を狙った攻撃グループLazarusによる攻撃オペレーション (2021/03/22)

JPCERTは、国内で確認した攻撃グループLazarusの攻撃オペレーションで使用されたマルウェア（VSingle、ValeforBeta）、および侵入したネットワーク内部で使用したツールを紹介した。
https://blogs.jpcert.or.jp/ja/2021/03/Lazarus_malware3.html

Lazarus malware strikes South Korean supply chains (2020/11/16)

Lazarus Groupは、韓国を標的にしたサプライチェーン攻撃のキャンペーンを行った。 Esetは韓国企業から盗まれた証明書の悪用を明らかにした。
https://www.zdnet.com/article/lazarus-malware-strikes-south-korean-supply-chains/

Lazarus APT Hackers Attack Japanese Organization Using Remote SMB Tool "SMBMAP" After Network Intrusion (2020/9/1)

JPCERT/CCは、Lazarus Groupが日本の組織をターゲットにしていることを確認した。 侵入と侵害範囲拡大に PE 変換した python tool "SMBMAP" を使用している。
https://gbhackers.com/lazarus-apt-hackers-attack-japanese-organization/

Lazarus hackers target cryptocurrency orgs with fake job offers (2020/08/25)

Lazarus Groupは、米国、英国、ドイツ、シンガポール、オランダ、日本、およびその他の国で暗号通貨組織を標的に、求人を装ったフィッシングキャンペーンを展開している。
https://www.bleepingcomputer.com/news/security/lazarus-hackers-target-cryptocurrency-orgs-with-fake-job-offers/

Israel says it thwarted foreign cyber attack on defence industry (2020/8/12)

イスラエルは、Lazarus Groupによる防衛産業へのサイバー攻撃を阻止したと語った。 イスラエル国防省によると、Lazarus Groupは防衛産業の労働者に求人を装ったメールを送り、ネットワークに侵入して機密情報を収集しようとしたという。
https://www.reuters.com/article/us-israel-cyber-attack/israel-says-it-thwarted-foreign-cyber-attack-on-defence-industry-idUSKCN25825T

Experts found targeted attacks by hackers from North Korea on Russia (2020/7/30)

Lazarus Groupがロシアで活動するようになったことが明らかになった。 攻撃者は、ウォレットや取引所にアクセスするための情報を盗むために、暗号通貨トレーダーのアプリケーションを介して攻撃している。
https://www.ehackingnews.com/2020/07/experts-found-targeted-attacks-by.html

Lazarus experiments with new ransomware (2020/7/29)

Kasperskyの研究者はLazarus Groupの使用する、今まで確認されていなかったVHDマルウェアを検出した。 当該マルウェアは被害者コンピューターのIPアドレスリストと、管理者権限を持つアカウントの資格情報が自由に使用できることがわかった。 そのデータをSMBサービスへのブルートフォース攻撃に使用し、横展開を行う。
https://www.kaspersky.com/blog/lazarus-vhd-ransomware/36559/

North Korea-linked Hackers deploy Multi-platform targeted malware framework (2020/7/24)

Lazarus Groupは、世界中の企業に侵入し、機密の顧客データを盗み、ランサムウェアを配布することを目的として、新しいマルチプラットフォームマルウェアフレームワーク(MATA)を拡散した。 MATAマルウェアフレームワークは、Windows、Linux、およびmacOSオペレーティングシステムをターゲットにすることができ、幅広い高度な機能を備えている。
https://www.questechie.com/2020/07/north-korea-linked-hackers-deploy-mata.html

North Korean hackers linked to credit card stealing attacks on US stores (2020/07/06)

Lazarus Groupは、米国とヨーロッパの大手小売業者からクレジットカード情報を少なくとも1年間盗んでいると、新しい調査結果が明らかになった。
https://www.bleepingcomputer.com/news/security/north-korean-hackers-linked-to-credit-card-stealing-attacks-on-us-stores/

North Korean state hackers reportedly planning COVID-19 phishing campaign targeting 5M across six nations (2020/6/19)

Lazarus Groupは、6月21日にCOVID-19をテーマにしたフィッシングキャンペーンを計画していると伝えられている。 シンガポール、日本、韓国、インド、米国、英国がキャンペーンの標的にされている。
https://www.zdnet.com/article/north-korean-state-hackers-reportedly-planning-covid-19-phishing-campaign-targeting-5m-across-six-nations/

Operation In(ter)ception: Aerospace and military companies in the crosshairs of cyberspies (2020/06/17)

ESETは、2019年9月から12月にかけて欧州や中東の航空宇宙・軍事企業を狙った標的型攻撃を発見し、Operation In(ter)ceptionと命名した。 標的、開発環境、使用された解析防止手法の類似性など、Lazarus Groupとの関連性を示唆するいくつかの痕跡を見つけている。
https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/

U.S Defense Warns of 3 New Malware Used by North Korean Hackers (2020/05/13)

米国政府はLazarus Groupが使用するCOPPERHEDGE、TAINTEDSCRIBE、PEBBLEDASHと呼ばれるマルウェアに関する情報を発表した。 発表によると、ターゲットシステムの機密情報の偵察および窃取が可能とのこと。
https://thehackernews.com/2020/05/fbi-north-korean-malware.html

North Korea's Lazarus Group Reportedly Increasing Cryptocurrency Cybercrime Amid COVID-19 Outbreak (2020/5/11)

Lazarus Groupは、暗号通貨を盗むための取り組みを強化している。 COVID-19パンデミックによって引き起こされた世界的な経済的困難を利用して、サイバー犯罪活動の利益を増やしている。
https://cryptopotato.com/north-koreas-lazarus-group-reportedly-increasing-cryptocurrency-cybercrime-amid-covid-19-outbreak/

Lazarus Group Hides macOS Spyware in 2FA Application (2020/5/6)

Lazarus Groupは、Macオペレーティングシステム用に設計したDaclsRATの新しい亜種を作成した。 Malwarebytesの分析によると、Mac用のDaclsRATは、MinaOTPと呼ばれるmacOS用の2要素認証アプリケーションに偽装して普及しているとのこと。
https://threatpost.com/lazarus-macos-spyware-2fa-application/155532/

Lazarus Group May Have Hacked Indian Nuclear Power Plant(2019/10/31)

インド原子力発電公社(NPCIL)は、Lazarus Groupに由来すると思われるマルウェアがクダンクラム原子力発電所の管理ネットワークに感染したことを認めている。
https://securityboulevard.com/2019/10/lazarus-group-may-have-hacked-indian-nuclear-power-plant/

New North Korean malware targeting ATMs spotted in India (2019/10/23)

Lazarusは、ATMシステムに感染し、マシンに挿入された支払いカードからデータを記録および盗むために使用できる新しいマルウェアを開発している。 カスペルスキーの専門家によると、ATMDtrackという名前のこの新しいマルウェアは、2018年の夏の終わりからインドの銀行のネットワークで発見されている。
https://www.zdnet.com/article/new-north-korean-malware-targeting-atms-spotted-in-india/

※ 各会社名、団体名、商品名は各社、各団体の商品名称、または登録商標です。