カスペルスキー、サイバー攻撃グループ「Lazarus」による新たな攻撃活動を特定
- 2021/03/04 10:00
- SecurityInsight
カスペルスキーは3月3日、同社のグローバル調査分析チームと産業制御システム緊急対応チーム(Kaspersky ICS CERT)が、悪名高いAPT(高度サイバー攻撃)グループ「Lazarus」が関わっているとみられる新たな攻撃活動を特定したと発表した。その概要は以下のとおり。
Lazarusは少なくとも2009年から高度な攻撃を活発に続けているグループで、大規模なサイバースパイ活動やランサムウェアを使用した攻撃や暗号資産(仮想通貨)市場への攻撃にも関わっており、この数年は金融機関を主な標的としてきた。
2020年初旬からは防衛産業を新たな標的とし、カスタマイズしたバックドアを用いて感染先のネットワーク内で横展開し機密情報を収集している。カスペルスキーでは、このバックドアを含むマルウェアコンポーネントを「ThreatNeedle」と名付けている。
ThreatNeedleは感染させた企業のネットワーク内で内部展開を行ない、機密情報を抜き出す複数のマルウェアで構成されている。以前、Lazarusが暗号資産ビジネスへの攻撃に用いており、マルウェアファミリー「Manuscrypt」に属している。これまでに10か国以上の組織が、ThreatNeedleを使用した攻撃に遭ったことが分かっている。
悪意のある添付ファイルを開いてマクロの実行を許可すると、ThreatNeedleのローダーやメモリー内で実行されるバックドアが展開される。これにより、攻撃者は感染したデバイスに対して、ファイルの改ざんや指令サーバーから送られたコマンドの実行まで、オペレーションを掌握できるようになる。