カスペルスキーのグローバル調査チーム、GReATは、長年APT(持続的標的型)攻撃グループの一つ「Lazarus (ラザルス)」を研究しています。このグループは主に、金銭窃取やデータ破壊を目的、サイバー諜報活動や業務妨害攻撃を行う特に悪質な集団で、2009年から活動していることがわかっています。被害は主に、韓国、日本、インド、中国、ブラジル、ロシア、トルコなどです。彼らが使用するマルウェアの実行ファイルサンプルのうち3分の2に韓国語(朝鮮語)話者の要素、グリニッジ標準時+8~9時間のタイムゾーンにおける就業時間中にプログラムがコンパイルされる、など複数の特徴があります。2022年10月、金融庁と警察庁、内閣サイバーセキュリティセンターは、Lazarusが日本などの暗号資産関連事業者などを標的として活動しているという、注意喚起の文書を公表しています。
そのLazarusの歴史、そして派生グループであるAndariel、BlueNoroffの最新の活動状況について、当社GReATで韓国語(朝鮮語)を理解し、このグループを研究し続ける、APAC地域リードセキュリティリサーチャーのパク・ソンスーに聞きました。
Q. Lazarusの歴史について教えてください
このグループは、2013年、韓国メディアや金融機関などを標的としたDarkSeoul(ダークソウル)と呼ばれるサイバー攻撃を主導したことで広く知られるようになりました。さらにその翌年2014年には、アメリカのソニー・ピクチャーズ・エンターテイメント(SPE)のサーバーをハッキングし、社外秘の機密情報を大量に流出させたと報道されています。2016年には、当社カスペルスキー含むセキュリティベンダーが協力してこのグループの一連のAPT活動を調査・分析し、その成果をOperation Blockbuster(ブロックバスター作戦)として発表し、その時初めてこのグループは、Lazarusと呼ばれるようになりました。
また2016年には、バングラデッシュ中央銀行から約9億5100万ドルを盗み出す計画が発覚し、その一部である8100万ドルの強盗事件が発生しました。容疑者は、Lazarusグループとつながりがあると考えられていますが、TTPs(戦術、技術、手順)が最初の攻撃とは異なるため、Lazarusから派生したグループとしてBlueNoroffと名付けられました。
また、2017年には、韓国の金融機関を標的としたLazarusの派生グループ、Andarielによる攻撃が確認されています。
Q. Andariel, Lazarus, BlueNoroff, それぞれのグループの特徴を教えてください
Andariel:Mauiランサムウェア攻撃
Andariel(アンダリエル、別名:Silent Chollima, Stonefly)は、2017年に韓国のFSIによって特定されたラザルス傘下のグループの1つです。Andarielは、多段階の手法によってバックドアを感染させ、最近の調査結果から最終的にランサムウェアに感染させる活動も観測されています。感染手法では、悪意のあるドキュメント、またはPDFリーダーのゼロデイエクスプロイトが使用され、これによりメモリ上にペイロードを展開しバックドアやランサムウェアを感染させるようにデザインされています。これまで、Andarielの標的は主に韓国に集中しており、軍事、防衛、インターネット起業、金融機関といった組織が狙わる傾向にありました。しかし、2020年の12月に、既知の「DTrack」バックドアとランサムウェア「Maui」が日本国内の組織を標的とした攻撃活動として新たに観測されました。
日本で拡散された新種のランサムウェアMauiのタイムラインを見ますと、疑わしい3proxyツールが2020年12月に埋め込まれました。そして、2021年4月15日に、DTrackがシステム上に作成され、Mauiランサムウェアが実行されました。これは、HTTPサーバーの脆弱性が悪用され、Windows Server 2019 Standardのドメインコントローラーのみが侵害されてMauiが拡散されました。
Lazarus:データ窃取のためのキャンペーン
Hidden Cobra、Zincなどとも呼ばれているこの大規模なグループは、主に金銭目的で金融プロジェクトを狙ったり、サイバースパイ活動を行っています。主なキャンペーンとしては、SPEへのサイバー攻撃、暗号資産取引所への攻撃、サイバーセキュリティ研究者、防衛関連企業への攻撃などです。
Lazarusグループは、2018年頃から様々な種類のマルウェアクラスタ―を使用しています。この事から開発・攻撃を行う為のリソースが豊富にあり、人材育成トレーニングも行っていると考えられます。例えば2020年から観測しているCookieTimeのマルウェアクラスターは、主にロシア、韓国、日本、南アフリカ、イギリス、アメリカの防衛関連企業、エネルギー関連企業、製薬会社などが標的とされています。
感染手法について2つの特徴的な手法を確認しています。1つ目は悪意のあるワード文書を使用する方法、2つ目はトロイの木馬化したアプリケーションを用いる方法です。悪意あるワード文書には転職のオファー、仕事に関連した文書など、受信者の興味をそそる内容が書かれています。被害者はその文書を開く、もしくはトロイの木馬化したアプリケーションを開くことによって、ダウンローダーが起動し最終的にはCookieTimeバックドアが感染してしまいます。
BlueNoroff:暗号資産狙いソーシャルエンジニアリング手法を活用
APT38とも呼ばれるこのグループは、バングラデシュ中央銀行強盗や複数の暗号資産の窃取などの首謀者とみられ、金銭的な動機に基づいて活動しています。以前は、銀行や国家間の送金に使うシステムSWIFT(スウィフト)のネットワークを悪用しましたが、最近では、暗号資産ビジネスやフィンテック企業、カジノ、NFT業界に標的をシフトしています。
BlueNoroffは、高度なソーシャルエンジニアリング手法を用いる特徴があります。暗号資産関連ビジネスを継続的に攻撃したSnatchCryptoキャンペーンにおいては、LinkedInやTelegramなどを使って標的の企業、従業員を入念に調査し、標的と直接連絡を取り、友好な関係を築こうとします。その後で、同僚もしくは同じ業界の組織を騙りSNSのダイレクトメッセージもしくは標的型攻撃メールを送り付けます。その中にはダウンロードリンクが含まれており、被害者はダウンロードしたファイルを開くことによりマルウェアに感染してしまいます。
ダウンロードされる悪性ファイルは様々なタイプがあり、感染チェーンも複数確認しています。そのうちの1つがZIP等のアーカイブファイルを用いたDangerousPasswordのケースです。このアーカイブファイルを起点に様々なファイルタイプのマルウェアを次々と実行され、最終的にはWindows実行ファイルが感染する仕組みになっています。この実行ファイルはキーロガー、スクリーンキャンプチャを行う為のマルウェアが確認されており、攻撃者はこれらを用いることで情報の窃取を行います。
これ手法以外にも、悪意のあるワード文書を用いた感染手法や、2022年ではMark of the web(MOTW)のセキュリティ保護を回避する目的で、ISOファイルやVHDファイルを用いた手法も発見されています。また、最終的に実行されるマルウェアはメモリの中だけで展開されるファイルレスマルウェアを使用する傾向にあり、検知が非常に難しくなっています。
BlueNoroffは、具体的にはどのように暗号資産の窃取を試みるのでしょうか。例えば、攻撃者はある程度の期間、標的である被害者(主に暗号通貨関連のベンチャー企業など)を観察します。そして、標的がMetaMaskを使っていることを認識した後、攻撃者はそのMetaMaskに悪意のあるスクリプトを忍び込ませます。そして攻撃者は、標的が送金を行う際に送り先のアドレスを自分たちに変更して、お金を窃取するという流れです。
Q.今後どのような活動が予測されますか
Lazarusの脅威に関する展望は変化し続けています。グループは当初は韓国語圏でのみ活動を集中していましたが、長年の活動の中で、新しい技術を身に着け、組織が分化し、攻撃のテクニックを磨き続けています。その上、資金力も豊富にあり、危険なリソースを開発しているのは事実です。そのため脅威の全体像を把握した上で防御の対策を行っていく必要があります。