LAC、「サイバー救急センターレポート 特別編集号」を発表

LACは6月19日、「サイバー救急センターレポート 特別編集号」を発表した。

サイバー救急センターレポートは、サイバー救急センターが相談を受けて対応しているインシデントレスポンスやフォレンジック調査の結果に基づいて、直前の四半期のインシデント傾向や対応方法について記載したレポート。今回は特別編集号として、一つの攻撃者グループに関する調査結果に焦点を当てた内容となっている。

同社はさまざまなサイバー攻撃事案において、攻撃者の侵入作戦、さまざまな防御回避技術やプログラミング上の癖などを分析して攻撃者を推測するなか、今回、少なくとも2016年以降ロシア系言語を使用し活動していると推測されるHYDSEVEN(ハイドセブン)と呼べる攻撃者グループが別途存在することを推測するに至った。

このグループに関する情報は少ないが、日本やポーランドを含むさまざまな国で特に仮想通貨を狙い攻撃を行なっていることが分かっている。

2017年以降、サイバー攻撃による仮想通貨取引所での被害額は8億8千2百万ドルにまで拡大しているとの調査もあり、その多くが北朝鮮を本拠地に置くと推測されているLazarusの仕業と指摘されている。実際に国連安全保障理事会議長への専門家パネルからの書簡でも、日本で発生した大型窃取事件への北朝鮮の関与に触れていた。

今回発表するレポートで取り上げたHYDSEVENは、Lazarusと侵入手口では類似する点が数多くあるものの、攻撃に悪用されるマルウェアが異なっている。これまでLazarusがこのレポートで紹介しているマルウェアを使用してきたという報告は確認できていない。

■サイバー救急センターレポート 特別編集号の内容

このレポートでは、仮想通貨の窃取を目的とした攻撃者グループ「HYDSEVEN」の活動に関して、2016年から2019年の期間に彼らが利用したTTPs(Tactics, Techniques and Procedures)を明らかにしている。

●目次
・はじめに
・仮想通貨を狙う攻撃のタイムライン
・攻撃の概要
・攻撃マルウェア
・C2インフラ
・攻撃者グループの背景
・検出または緩和策
・おわりに
・Indicator-of-Compromise(IOC)
・編集後記
 

関連リンク

テクニカルレポート