ESET、「Lazarus」最新調査を発表。LinkedInとWhatsAppを悪用し航空宇宙および防衛関連企業を攻撃

次の事例へ
  • 毎年開催されているESET Worldカンファレンスにおいて、ESETの研究者は、悪名高いAPTグループ「Lazarus」の最新動向に関する調査を発表しました。
  • Lazarusグループは、2021年後半から2022年3月にかけて、世界各国の防衛関連企業に対して攻撃を仕掛けており、ESETテレメトリ(監視データ)によると、ヨーロッパ(フランス、イタリア、スペイン、ドイツ、チェコ、オランダ、ポーランド、ウクライナ)、中東(トルコ、カタール)、中南米(ブラジル)が攻撃の標的となっていることが明らかになっています。
  • LinkedInやWhatsAppなどのサービスを悪用し、偽の人材採用キャンペーンを行っていました。
  • 米国政府は、Lazarusグループは北朝鮮政権とつながっているという見解を示しています。

ESETが毎年開催しているESET Worldカンファレンスで、ESETの研究者は悪名高いLazarus APTグループに関する新しい調査を発表しました。ESETの脅威リサーチ部門のディレクターであるJean-Ian Boutinは、2021年後半から2022年3月にかけて、Lazarusグループが世界各国の防衛関連企業に対して実行しているさまざまな新しいキャンペーンについて解説しました。

ESETのテレメトリによると、2021年から2022年にかけて行われた攻撃は、ヨーロッパ(フランス、イタリア、ドイツ、オランダ、ポーランド、ウクライナ)および中南米(ブラジル)の企業を標的にしていました。

Lazarusグループの活動の主な目的はサイバースパイ活動ですが、金銭窃取を目的とした攻撃も実施しています。ただ、これらの攻撃は成功していません。「Lazarusグループは、新たな攻撃手法を考案しています。たとえば、カーネルメモリに書き込むために、脆弱なDellのドライバをエクスプロイトするユーザーモードコンポーネントなど、注意が必要なツールセットを展開しています。このような高度な手法は、セキュリティソリューションの監視を回避するために使用されています」とJean-Ian Boutinは述べています。

2020年にESETの研究者はすでに、Lazarusグループと関係のあるグループがヨーロッパの航空宇宙および防衛関連企業に対して実行した攻撃キャンペーン「Operation In(ter)ception:イン(ター)セプション作戦」について公開しています。このキャンペーンは、ソーシャルメディア、特にLinkedInを利用して、無防備な従業員との信頼関係を構築してから、職種の詳細や応募書類を偽装した不正なコンポーネントを送信する手法を採用していることで注目されました。当時、すでにブラジル、チェコ、カタール、トルコ、ウクライナの企業が標的になっていました。

ESETの研究者は、同グループの活動は主にヨーロッパ企業を標的としていると考えていましたが、防衛関連企業に対して同様のキャンペーンを実施している多数のLazarusの関連グループを追跡したところ、これらのキャンペーンははるかに広範囲の標的を対象としていることが明らかになりました。キャンペーンで使用されているマルウェアは異なっていますが、初期の手口は常に同じであり、偽の人材採用の担当者がLinkedInからこれらの組織の従業員に接触し、最終的に悪意のあるコンポーネントを送信しています。

この点では、従来と同じ手口が採用されていますが、ESETの研究者は、偽の採用活動を正規のように見せかけるために、これら防衛関連組織が実際に行っている採用活動を悪用するケースも特定しています。また、これらの攻撃者は、WhatsAppやSlackなどのサービスを攻撃キャンペーンで悪用しています。

 

Lazarusグループによる偽の人材採用活動

2021年、米司法省は、北朝鮮軍のために活動していたとして、ITプログラマー3名をサイバー攻撃を実行した容疑で起訴しました。米国政府は、彼らは情報セキュリティコミュニティではLazarusグループとして知られている北朝鮮軍のハッカー部隊に所属していたという見解を示しています。

今回の年次カンファレンスの中では、Lazarusグループに関する新しい調査結果の他に、ウクライナにおけるサイバー戦争の過去と現在についても発表しました。ESETの研究者であるRobert Lipovskýは、「Industroyer2」やさまざまなワイパー型マルウェアを使用してウクライナの電力網を破壊しようとした最新の攻撃について詳細調査を行い、ロシアとウクライナにおけるサイバー空間での戦争について解説しています。