北朝鮮のLazarusグループが既知のセキュリティ脆弱性を悪用してソフトウェアベンダーを攻撃

北朝鮮政府とのつながりがあるとされる、非常に活発なサイバー脅威活動家であるLazarus組織は、常に攻撃手法を洗練させ、新たな標的や脆弱性を見つけては悪用している。彼らは、ソーシャル・エンジニアリング、フィッシング・メール、マルウェア配布を駆使して、機密情報や資金を盗み出すソフトウェア・ベンダー、金融機関、暗号通貨取引所に対する攻撃で知られている。

韓国のラザロハッカー組織は常にサイバーセキュリティ地域社会にとって大きな懸念である。最近、彼らは新たな攻撃キャンペーンの背後にいることが確認された。このキャンペーンでは、無名のソフトウェアベンダーが、高く評価されているソフトウェアの既知のセキュリティ脆弱性を悪用し、侵害された。

カスペルスキーによると、これらの攻撃はSIGNBTやLPEClientなどのマルウェアの展開に至り、脅威行為者が被害者の分析やペイロードの配信に使用するハッキングツールとして知られています。

セキュリティ研究者のSeongsu Park氏は、この攻撃は高度に洗練されており、敵対者は高度な回避技術を採用し、被害者をコントロールするためにSIGNBTマルウェアを導入したと指摘した。

ロシアのサイバーセキュリティ・ベンダーによると、悪用されたソフトウェアを開発した会社は、何度かLazarus攻撃の被害にあっている。これは、以前発生した3CXのサプライチェーン攻撃と同様に、ソースコードを盗むか、ソフトウェアのサプライチェーンを汚染しようとしていることを示している。

Lazarus組織は、同社のソフトウェアの脆弱性を悪用し、他のソフトウェアメーカーを標的にし続けている。最新のキャンペーンでは、何人かの被害者が特定されたと報じられている。

同社によると、被害者はデジタル証明書を使用してネットワーク通信を暗号化するように設計された正規のセキュリティ・ソフトウェアを通じて標的にされたが、そのソフトウェアの正確な名前は公表されていない。SIGNBTマルウェアが拡散する正確なメカニズムはまだ不明である。

感染したシステム上で持続性を確立し維持するために様々な戦術を利用することに加え、攻撃チェーンはSIGNBTマルウェアを起動するための導管としてメモリローダーも利用します。

SIGNBTマルウェアの主な機能は、リモートサーバーとの接触を確立し、感染したホスト上で実行するさらなるコマンドを取得することです。このマルウェアはHTTPベースのコマンド&コントロール(C2)通信において、接頭辞 "SIGNBT "と名付けられたユニークな文字列を使用します。例えば、最初の接続にはSIGNBTLG、システム・メタデータを収集するにはSIGNBTKE、コマンドを取得するにはSIGNBTGC、通信失敗にはSIGNBTFI通信失敗のためのSIGNBTFI、通信成功のためのSIGNBTSR。

SIGNBTマルウェア自体は、プロセスの列挙、ファイルとディレクトリの操作、LPEClientやその他のクレデンシャル・ダンピング・ユーティリティのようなペイロードのデプロイメントを含む、被害者のシステムをコントロールするために使用できる様々な機能を持っています。

カスペルスキーは、2023年に少なくとも3つの異なるLazarusキャンペーンを発見し、異なる侵入経路と感染手順を使用していたが、マルウェアの最終段階を拡散するために常にLPEClientマルウェアに依存していたと述べた。

インプラントプログラムの1つで、キャンペーンコードネームGopuramは、3CXの音声およびビデオ会議ソフトウェアのトロイの木馬化されたバージョンを悪用することで、暗号通貨企業に対するサイバー攻撃の道を開いた。

これらの最新の発見は、朝鮮民主主義人民共和国関連のサイバー作戦の最新の例であり、ラザロ組織がツール、戦術、テクニックの武器を開発し、拡大し続けている証拠である。

Lazarus組織は、常に非常に活発で多才な脅威行為者であり、今日のサイバーセキュリティの状況において重大な懸念の存在であり続けている。彼らは常に攻撃手法を改善し、新たな標的や脆弱性を見つけては悪用している。ソフトウェア・ベンダーに対する攻撃に加え、Lazarusグループは金融機関や暗号通貨取引所など他の分野にも進出しています。ソーシャル・エンジニアリング、フィッシング・メール、マルウェアの配布など、さまざまな手口で機密情報の窃取、金銭の窃取、スパイ活動を行っている。

ラザロ組織の活動は朝鮮民主主義人民共和国政府に関連している。彼らは朝鮮民主主義人民共和国政府の公認団体であり、政府にサイバー攻撃能力を提供し、政府の政治的・経済的目標の達成を支援していると考えられている。彼らは過去数年間活動しており、サイバーセキュリティ・コミュニティにとって重大な懸念事項である。

このような攻撃から身を守るために、ソフトウェア・ベンダーやその他の潜在的な標的は、さまざまなセキュリティ対策を採用すべきである。これには、ソフトウェアのセキュリティ脆弱性の定期的な更新とパッチ適用、強力な認証とアクセス制御メカニズムの導入、サイバーセキュリティのベストプラクティスに関するスタッフのトレーニング、高度な侵入検知・防止システムの使用などが含まれる。

また、不審なリンクや未知のソースからのリンクをクリックしない、未知のソースからの添付ファイルをダウンロードしない、オペレーティング・システムやアプリケーションを定期的に更新・保守する、信頼できるセキュリティ・ソフトウェアを使用してデバイスをマルウェアから保護するなど、警戒を怠らないようにする必要がある。

全体として、ラザロ組織の活動は、サイバー脅威の絶え間ない進化と拡大を示している。このような脅威に直面した場合、継続的なセキュリティ意識と包括的な防御策が不可欠である。

原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/jp/ラザロ・グループ、既知の脆弱性を持つソフトウ

のように (1)
前の 2023年10月30日午前7時
2023年10月30日午後12時40分

関連する提案