北朝鮮のハッカー集団「ラザラス・グループ」が新たなサイバー攻撃作戦を開始

最近、悪名高い北朝鮮関連のサイバー脅威グループ「Lazarus Group」が開始した世界的な攻撃キャンペーンが明らかになりました。この作戦は「Operation Blacksmith」と名付けられ、Log4j の脆弱性 (CVE-2021-44228、Log4Shell とも呼ばれる) を悪用して、これまで知られていなかったリモート アクセス トロイの木馬 (RAT) をターゲット システムに展開することが特徴でした。

セキュリティ研究組織 Cisco Talos は最近、北朝鮮に関連する悪名高いサイバー脅威グループを明らかにしました。ラザロ この作戦は「鍛冶屋作戦」と名付けられ、Log4jの脆弱性(CVE-2021-44228、 としても知られているLog4Shell) これまで未知のリモート アクセス トロイの木馬 (RAT) をターゲット システムに展開します。

タロスセキュリティの専門家Jung soo An、Asheer Malhotra、および Vitor Ventura は、Lazarus Group が DLang 言語に基づく 3 つのマルウェア ファミリを使用して攻撃を実行したことを明らかにしました。これには、NineRAT RAT、DLRAT、および Telegram をコマンド アンド コントロール (C2) チャネルとして使用する BottomLoader と呼ばれるダウンローダーが含まれます。 。 デバイス。

北朝鮮のハッカー集団「ラザラス・グループ」が新たなサイバー攻撃作戦を開始

技術レポートは、この作戦で採用された新しい戦術が、ラザロのサブクラスターであるアンダリエル(オニキス・スリートまたはサイレント・チョリマとしても知られる)の行動パターンとかなり重複していると指摘しました。アンダリエルは通常、北朝鮮政府の戦略的利益を支援するため、初期アクセス、偵察、長期アクセスの確立に重点を置いている。

標的となる攻撃チェーンは、公的にアクセス可能な VMWare Horizon サーバーへの攻撃を通じて、主に製造、農業、物理的セキュリティの分野に集中しており、2022 年 5 月に最初に開発されて以来、NineRAT は複数の攻撃に導入されています。今年3月には米国の農業団体が、9月には欧州の製造業が襲撃された。

データによると、公開から 2 年が経過した後でも、2.8% アプリケーションは依然としてセキュリティ上の脆弱性のある Log4j バージョンを使用しているのに対し、3.8% アプリケーションは CVE-2021-44228 攻撃の影響を受けない Log4j 2.17.0 バージョンを使用していることが示されています。 CVE-2021-44832。

感染が成功すると、NineRAT は Telegram ベースの C2 通信を通じて別のシステム フィンガープリンティングを実行します。これは、Lazarus によって NineRAT を通じて収集されたデータが他の APT グループと共有され、最初に収集されたデータとは別に保存される可能性があることを示しています。

このレポートでは、JetBrains TeamCity の重大なセキュリティ脆弱性 (CVE-2023-42793、CVSS スコア 9.8) を悪用する攻撃で、HazyLoad と呼ばれるカスタム プロキシ ツールが使用されたことも明らかになりました。 HazyLoad は通常、BottomLoader と呼ばれるマルウェアを介してダウンロードされ、実行されます。

さらに、Operation Blacksmith には、ダウンローダーであるだけでなく、システム偵察を実行し、他のマルウェアを展開し、C2 コマンドを受信して感染システム上で実行できる RAT である DLRAT の展開も含まれていました。

一方、韓国保安緊急対応センター(ASEC)は、ラザロ・チョリマに関連する別の北朝鮮のAPTグループKimsuky(APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Nickel Kimball、Velvetとしても知られる)を詳述する報告書を発表した。このグループは、おとりの添付ファイルとリンクを使用してスピア フィッシング攻撃を実行します。

元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/lazarusグループがlog4jの脆弱性を悪用-html。

のように (0)
前の 2023年12月10日午後4時14分
2023年12月12日午後8時05分

関連する提案