Lazarusグループ、仮想通貨を狙う攻撃「AppleJeus」を強化

Lazarusグループによる攻撃活動「AppleJeus」に、変化が見られました。検知を逃れるために、新たな手法が取り入れられています。

Lazarusは、活発かつ頻繁にAPT(Advanced Persistent Threat)攻撃を展開する犯罪グループの1つです。巧妙な作戦活動(英語記事)、そして北朝鮮との関連が取り沙汰されるLazarusグループは、サイバー諜報活動やサイバー妨害攻撃だけでなく、金銭的な動機による攻撃でも知られています。銀行や大手金融企業を狙った同グループの攻撃は、これまでにもKasperskyほか多くのリサーチャーによって報告されています。

Kaspersky のエキスパートは2018年、同グループによる新たな攻撃活動を検知し、「AppleJeus」と名付けました。偽の仮想通貨関連企業を作り上げて人々の信頼を逆手にとり、自分たちが作成したソフトウェアを配布するという筋書きでした。このソフトウェアをインストールすると、ソフトウェアの更新がスタートし、更新プログラムを装ったダウンロード型トロイの木馬「Fallchill」がダウンロードされます。このトロイの木馬を通じて攻撃者はデバイスを完全に掌握、仮想通貨を窃取可能となります。この攻撃は、Lazarusが初めてmacOSを標的とするマルウェアを作成した攻撃でもありました。

続・AppleJeus:検知逃れの新手法

Kasperskyのエキスパートは2019年、AppleJeus攻撃活動を調査する中で、Lazarusの戦術に大きな変化を認めました。今回は、仮想通貨関連の偽Webサイトを構築し、このサイトに架空の組織のTelegramチャネルへのリンクを配置して、メッセンジャー経由でマルウェアを配信する形をとっていました。

2018年のAppleJeusと同様に、その「続編」とも言える2019年の活動も、2段階で構成されています。最初の段階では、標的の人がデバイスにソフトウェアをダウンロードするように仕向けます。続いて、関連するダウンローダーが次のペイロードをリモートサーバーから取得し、最終的には感染デバイスに永続的なバックドアを仕掛け、攻撃者はデバイスを完全に掌握します。ただし、今回の攻撃では、ふるまいベースの検知ソリューションによる検知を逃れるために、ペイロードの配信が慎重に行われています。macOS利用者に対する攻撃では、ダウンローダーへの認証メカニズムの追加、開発フレームワークの変更が見られ、さらにはファイルレスな感染手法が採用されています。Windows利用者を標的とする攻撃では、初期のAppleJeus攻撃のようにFallchillを使用するのではなく、指定の値と一致するかどうかシステム情報を確認した上で、特定のシステム上でのみ実行するようなマルウェアを使用していました。こうした変化は、Lazarusが以前よりもいっそう慎重になり、新たな手法を採用して検知逃れを図っていることを示唆しています。

Lazarusはまた、macOS向けマルウェアに大幅な変更を加え、バージョンの数を増やしています。以前の攻撃では、オープンソースの「QtBitcoinTrader」を利用して精巧なmacOSインストーラーを作成していましたが、今回の攻撃では自作のコードを利用しています。こうしたことから、今回検知されたマルウェアは変化の中途段階であり、今後もmacOS向けマルウェアの改良が継続されるものと考えられます。

Kasperskyのセキュリティリサーチャー、パク・ソンス(Park Seongsu)は次のように述べています。「今回のAppleJeus続編は、仮想通貨市場の著しい停滞にもかかわらず、Lazarusが仮想通貨関連の攻撃に対する投資を継続し、攻撃をさらに高度化させていることを示しています。彼らが使用するマルウェアの変化と多様化を見るに、こうした攻撃の数が今後増加し、より深刻な脅威となると考えてよいでしょう」

とるべき対策

AppleJeusや類似の攻撃に備え、以下の対策を推奨します。

仮想通貨関連企業

  • フィッシング攻撃をより明確に見分けられるようにするために、セキュリティ意識向上のためのトレーニングを全社員に対して実施する。
  • スマートコントラクト実行環境に新たな脆弱性が現れていないか、常にモニタリングする。

仮想通貨を運用中、または運用を検討中の方

  • 信頼できる、実績のある仮想通貨プラットフォームのみを利用する。
  • オンラインバンクやWebウォレットに誘導するリンクを不用意にクリックしない。
  • 幅広い脅威に対応した、信頼できるセキュリティ製品を利用する。

AppleJeus攻撃活動の最新情報については、Securelist.com(英語)をご覧ください。

ヒント