攻撃グループ「Lazarus」の最新活動状況、「Andariel」や「BlueNoroff」などの関連組織ついてカスペルスキーが解説 

INTERNET Watch

カスペルスキーは多くのサイバー犯罪者グループの追跡調査をおこなっているが、今回取り上げるのは「Lazarus」、「Andariel」、「BlueNoroff」の3つだ

 株式会社カスペルスキーは12月9日、最新のセキュリティ脅威に関するプレス向けセミナーを開催した。今回のテーマは10月に金融庁や警察庁、内閣サイバーセキュリティセンター(NISC)が連名で注意喚起を行ったサイバー攻撃グループ「Lazarus(ラザルス)」と、Lazarusから派生したとみられる「Andariel(アンダリエル)」、「BlueNoroff(ブルーノロフ)」について、Kasperskyグローバル調査分析チーム(GEaRT)アジアパシフィック地域 リードセキュリティリサーチャーのパク・ソンスー氏が説明した。パク氏はGReATで唯一、韓国/朝鮮語を理解しており、長年にわたり韓国語話者の攻撃グループの活動を調査・追跡しているという。

Kasperskyグローバル調査分析チーム(GEaRT)アジアパシフィック地域リードセキュリティリサーチャーのパク・ソンスー氏

 韓国語話者の攻撃グループが注目されたのは2013年3月に発生した「DarkSeoul」だ。この攻撃は韓国の放送局や金融機関に時限爆弾的なプログラムを仕掛け、感染させたサーバーやPCを同時に使用不能にした。多くのセキュリティベンダーがこの攻撃グループに関して研究を開始している。

 翌2014年11月にはソニー・ピクチャーズ エンタテインメント(SPE)へのハッキング事件が発生し、従業員やスタッフの個人情報、内部メールや未公開を含む映画が流出した。米連邦捜査局(FBI)は12月にSPEに対するサイバー攻撃に北朝鮮が背景にあると断定している。

 世界のセキュリティ専門家が共同でこれらの攻撃を解明する「Operation Blockbuster(ブロックバスター作戦)」を行い、DarkSeoulやSPEへの攻撃に使われた多くのマルウェアサンプルの解析を行った結果、数十件の標的型攻撃が、1つのAPTグループ「Lazarus」の犯行であると2016年2月に発表している

 2016年2月にはバングラデシュの中央銀行から8100万ドルが不正に送金される事件が発生した(もっと多額の送金指示があったが、途中で発覚している)。当時のカスペルスキーのブログではLazarusが引き起こしたと判断していたが、今回、パク氏はLazarusと「繋がりがある」と発言した。

 「繋がり」とあいまいなかたちにしているのは、従来のLazarusと「TTP:Tactics(戦術)、Techniques(技術)、Procedures(手順)」が異なるためで、カスペルスキーは彼らに「BlueNoroff」というグループ名を付けている。その後、韓国の金融機関を狙った「Andariel」という攻撃があり、これもLazarusと同じ戦略や利用するソフトを使用しているもののTTPが異なるため、別名称にしている。戦略やソフトが同じなので、他社ベンダーではLazarusとまとめているところもあるが、カスペルスキーはLazarusから分離したと判断して別の名称にしている。

他社ではLazarusとまとめているが、カスペルスキーはTTPが異なるため、分離した別グループと判断

AndarielはMauiランサムウェアで知られ、Lazarusは多様な攻撃手段を持つ

 パク氏は引き続き、各グループの詳細を説明。一番新しいAndarielは「Silent Chollima」や「stonefly」という別名もある。

 Darkseoulや、韓国をターゲットにした軍事ネットワークの情報窃取、Eコマースの情報窃取、ATMソフトウェアの侵害といった攻撃を展開していたが、最近は韓国でのランサムウェアの拡散、さらには日本のATMに対してのマルウェア攻撃も行っている。

Andarielグループはカスペルスキーの分類では2番目に分離したグループで、元々は韓国の軍事防衛への攻撃を行っていたが、最近はランサムウェア「Maui」の拡散を行っている

 感染の手法としては、悪意のあるドキュメントや韓国でしか使われていないPDFリーダーのゼロデイ脆弱性を使っており、韓国のIT環境をよく理解しているだけでなく、オンメモリで実行され、検知を逃れるようにしている。

 Andarielは北朝鮮の国家が背景にあると判断している一方で、ランサムウェアを配布したのは意外だとパク氏は語った。(当時の)ランサムウェアそのものは洗練されていなかったが、製造業、家庭ネットワーク会社、メディア、建設会社へ拡散しようとしていた。

 米国CISA(Cybersecurity and Infrastructure Security Agency)は今年、韓国のヘルスケア業界にMauiランサムウェア攻撃が行われていることを発表した

 CISAは韓国のヘルスケア業界しか触れていなかったが、カスペルスキーはロシア、日本、インド、ベトナムなどにも被害を及ぼしていると判断している。

 とある攻撃のタイムラインを見ると2020年12月25日に疑わしいツールが埋め込まれ、2021年4月15日に「DTrack」というスパイウェアを感染させ、9時間後にMauiランサムウェアを実行している。この例ではHTTPサーバーの脆弱性を悪用しており、1つのドメインコントローラーのみにMauiランサムウェアを入れていた。

ランサムウェアの拡散は場当たり的で洗練されていないと分析している

最近は新種のランサムウェア「Maui」を使用している。攻撃のタイムラインを確認するとDtrackを使ってMauiを実行。画面の例では起動コマンドから特定ドライブのみを暗号化していることが分かる

 パク氏は次に、Lazarusについて紹介した。別名「Hidden Cobra」や「Zinc」として知られている。活動内容は金銭的目的やサイバースパイ行為、重要データの窃取を行っており、前述したようにSPEへのハッキングは彼らの仕業と判断している。

 世界各地の暗号資産取引所への攻撃、セキュリティリサーチャーへの攻撃、防衛産業データの窃取も行っている。また、複数のマルウェアクラスターを使って攻撃の種類を増やしており、クラスターを維持する余力があるので小さな組織ではないという。

北朝鮮の国家的支援を受けているとされているLazarusはサイバースパイ活動だけでなく、金銭的な目的でも動いている

Lazarusが大きなグループと判断しているデータの1つが「マルウェアグループを複数使っている」ことだ。リソースが多くないとこのようなことはできない

 マルウェアクラスターの中でCookieTimeマルウェアに関して解説した。これは「LCPDot」という別名があり、JPCERT/CCでも発表がある。カスペルスキーは2020年からこのマルウェアクラスターを監視しており、主に防衛産業と製薬業界をターゲットにしているという。

 CookieTimeは悪意のあるWordドキュメント、もしくはトロイの木馬型アプリケーションを使ってCookieTime本体をダウンロードし、C2サーバーからの指示で様々な行動を起こす。カスペルスキーのテレメトリー調査ではロシアと韓国の防衛産業、日本、南アフリカ、英国、米国の製薬業界に攻撃をしたと判断している。

Lazarusが使用しているマルウェアの中でも新しいCookie Timeは防衛産業・製薬産業を狙っており、ターゲットには日本も含まれている

Source