エフセキュア、暗号通貨業界へのサイバー攻撃におけるLazarus Groupの関与についてのレポートを発表
- 2020/08/31 10:00
- SecurityInsight
エフセキュアは8月26日、暗号通貨業界の企業に対する攻撃にLazarus Groupが関与しているとのレポートを発表した。APT38/Hidden Cobra/Zincなどの別名でも知られるLazarus Groupは、北朝鮮とのつながりが深いとされ、高度な技術を持つ、主に金銭目当ての攻撃を仕掛けるサイバー犯罪者集団である。
エフセキュアが検証を行なった攻撃から得られた証拠と既存の研究を結び付けることにより、事件が米国、英国、オランダ、ドイツ、シンガポール、日本、およびその他の国の暗号通貨業界を対象としたサイバー攻撃キャンペーンの一部であったという結論に達しているという。
レポートによると、攻撃に使用された悪意のあるインプラント(密かにインストールされたスパイウェア)は、以前にもLazarus Groupが使用したと報告されているツールとほぼ同じものだった。またレポートでは、サービスを介したスピアフィッシング(今回に関しては、LinkedInを使用してユーザーのプロファイルに合致する偽の求人情報の送信)など、攻撃中に使用されたTTP(戦術、手法、手順)について解説している。
Lazarus Groupの攻撃から回収されたフィッシングの痕跡に基づき、エフセキュアのリサーチャーたちは、今回の事件を少なくとも2018年1月からこれまでに進行中の広範な攻撃キャンペーンと関連付けることができた。レポートによると、同様の痕跡が少なくとも以下の14か国に向けた攻撃キャンペーンにおいて発見されている。
米国、中国、イギリス、カナダ、ドイツ、ロシア、韓国、アルゼンチン、シンガポール、香港、オランダ、エストニア、日本、フィリピン
Lazarus Groupはその攻撃において、標的企業による防御を回避するために多大な労力を費やした。例えば、侵害されたホストのウイルス対策ソフトウェアの無効化や、悪意のあるインプラントの証拠の削除などである。また、この報告では攻撃は非常に巧妙なものであると説明しているが、Lazarus Groupがその存在を隠そうとする努力でさえ、彼らの活動の証拠を探ろうとするエフセキュアの調査を妨げるには不十分であったと指摘している。