セキュリティ研究組織 Cisco Talos は最近、北朝鮮に関連する悪名高いサイバー脅威グループを明らかにしました。ラザロ この作戦は「鍛冶屋作戦」と名付けられ、Log4jの脆弱性(CVE-2021-44228、 としても知られているLog4Shell) これまで未知のリモート アクセス トロイの木馬 (RAT) をターゲット システムに展開します。
タロスセキュリティの専門家Jung soo An、Asheer Malhotra、および Vitor Ventura は、Lazarus Group が DLang 言語に基づく 3 つのマルウェア ファミリを使用して攻撃を実行したことを明らかにしました。これには、NineRAT RAT、DLRAT、および Telegram をコマンド アンド コントロール (C2) チャネルとして使用する BottomLoader と呼ばれるダウンローダーが含まれます。 。 デバイス。
技術レポートは、この作戦で採用された新しい戦術が、ラザロのサブクラスターであるアンダリエル(オニキス・スリートまたはサイレント・チョリマとしても知られる)の行動パターンとかなり重複していると指摘しました。アンダリエルは通常、北朝鮮政府の戦略的利益を支援するため、初期アクセス、偵察、長期アクセスの確立に重点を置いている。
標的となる攻撃チェーンは、公的にアクセス可能な VMWare Horizon サーバーへの攻撃を通じて、主に製造、農業、物理的セキュリティの分野に集中しており、2022 年 5 月に最初に開発されて以来、NineRAT は複数の攻撃に導入されています。今年3月には米国の農業団体が、9月には欧州の製造業が襲撃された。
データによると、公開から 2 年が経過した後でも、2.8% アプリケーションは依然としてセキュリティ上の脆弱性のある Log4j バージョンを使用しているのに対し、3.8% アプリケーションは CVE-2021-44228 攻撃の影響を受けない Log4j 2.17.0 バージョンを使用していることが示されています。 CVE-2021-44832。
感染が成功すると、NineRAT は Telegram ベースの C2 通信を通じて別のシステム フィンガープリンティングを実行します。これは、Lazarus によって NineRAT を通じて収集されたデータが他の APT グループと共有され、最初に収集されたデータとは別に保存される可能性があることを示しています。
このレポートでは、JetBrains TeamCity の重大なセキュリティ脆弱性 (CVE-2023-42793、CVSS スコア 9.8) を悪用する攻撃で、HazyLoad と呼ばれるカスタム プロキシ ツールが使用されたことも明らかになりました。 HazyLoad は通常、BottomLoader と呼ばれるマルウェアを介してダウンロードされ、実行されます。
さらに、Operation Blacksmith には、ダウンローダーであるだけでなく、システム偵察を実行し、他のマルウェアを展開し、C2 コマンドを受信して感染システム上で実行できる RAT である DLRAT の展開も含まれていました。
一方、韓国保安緊急対応センター(ASEC)は、ラザロ・チョリマに関連する別の北朝鮮のAPTグループKimsuky(APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Nickel Kimball、Velvetとしても知られる)を詳述する報告書を発表した。このグループは、おとりの添付ファイルとリンクを使用してスピア フィッシング攻撃を実行します。
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/lazarusグループがlog4jの脆弱性を悪用-html。