ニュース

攻撃グループ「Lazarus」の最新活動状況、「Andariel」や「BlueNoroff」などの関連組織ついてカスペルスキーが解説

カスペルスキーは多くのサイバー犯罪者グループの追跡調査をおこなっているが、今回取り上げるのは「Lazarus」、「Andariel」、「BlueNoroff」の3つだ

 株式会社カスペルスキーは12月9日、最新のセキュリティ脅威に関するプレス向けセミナーを開催した。今回のテーマは10月に金融庁や警察庁、内閣サイバーセキュリティセンター(NISC)が連名で注意喚起を行ったサイバー攻撃グループ「Lazarus(ラザルス)」と、Lazarusから派生したとみられる「Andariel(アンダリエル)」、「BlueNoroff(ブルーノロフ)」について、Kasperskyグローバル調査分析チーム(GReAT)アジアパシフィック地域 リードセキュリティリサーチャーのパク・ソンスー氏が説明した。パク氏はGReATで唯一、韓国/朝鮮語を理解しており、長年にわたり韓国語話者の攻撃グループの活動を調査・追跡しているという。

Kasperskyグローバル調査分析チーム(GReAT)アジアパシフィック地域リードセキュリティリサーチャーのパク・ソンスー氏

 韓国語話者の攻撃グループが注目されたのは2013年3月に発生した「DarkSeoul」だ。この攻撃は韓国の放送局や金融機関に時限爆弾的なプログラムを仕掛け、感染させたサーバーやPCを同時に使用不能にした。多くのセキュリティベンダーがこの攻撃グループに関して研究を開始している。

 翌2014年11月にはソニー・ピクチャーズ エンタテインメント(SPE)へのハッキング事件が発生し、従業員やスタッフの個人情報、内部メールや未公開を含む映画が流出した。米連邦捜査局(FBI)は12月にSPEに対するサイバー攻撃に北朝鮮が背景にあると断定している。

 世界のセキュリティ専門家が共同でこれらの攻撃を解明する「Operation Blockbuster(ブロックバスター作戦)」を行い、DarkSeoulやSPEへの攻撃に使われた多くのマルウェアサンプルの解析を行った結果、数十件の標的型攻撃が、1つのAPTグループ「Lazarus」の犯行であると2016年2月に発表している

 2016年2月にはバングラデシュの中央銀行から8100万ドルが不正に送金される事件が発生した(もっと多額の送金指示があったが、途中で発覚している)。当時のカスペルスキーのブログではLazarusが引き起こしたと判断していたが、今回、パク氏はLazarusと「繋がりがある」と発言した。

 「繋がり」とあいまいなかたちにしているのは、従来のLazarusと「TTP:Tactics(戦術)、Techniques(技術)、Procedures(手順)」が異なるためで、カスペルスキーは彼らに「BlueNoroff」というグループ名を付けている。その後、韓国の金融機関を狙った「Andariel」という攻撃があり、これもLazarusと同じ戦略や利用するソフトを使用しているもののTTPが異なるため、別名称にしている。戦略やソフトが同じなので、他社ベンダーではLazarusとまとめているところもあるが、カスペルスキーはLazarusから分離したと判断して別の名称にしている。

他社ではLazarusとまとめているが、カスペルスキーはTTPが異なるため、分離した別グループと判断

AndarielはMauiランサムウェアで知られ、Lazarusは多様な攻撃手段を持つ

 パク氏は引き続き、各グループの詳細を説明。一番新しいAndarielは「Silent Chollima」や「stonefly」という別名もある。

 Darkseoulや、韓国をターゲットにした軍事ネットワークの情報窃取、Eコマースの情報窃取、ATMソフトウェアの侵害といった攻撃を展開していたが、最近は韓国でのランサムウェアの拡散、さらには日本のATMに対してのマルウェア攻撃も行っている。

Andarielグループはカスペルスキーの分類では2番目に分離したグループで、元々は韓国の軍事防衛への攻撃を行っていたが、最近はランサムウェア「Maui」の拡散を行っている

 感染の手法としては、悪意のあるドキュメントや韓国でしか使われていないPDFリーダーのゼロデイ脆弱性を使っており、韓国のIT環境をよく理解しているだけでなく、オンメモリで実行され、検知を逃れるようにしている。

 Andarielは北朝鮮の国家が背景にあると判断している一方で、ランサムウェアを配布したのは意外だとパク氏は語った。(当時の)ランサムウェアそのものは洗練されていなかったが、製造業、家庭ネットワーク会社、メディア、建設会社へ拡散しようとしていた。

 米国CISA(Cybersecurity and Infrastructure Security Agency)は今年、韓国のヘルスケア業界にMauiランサムウェア攻撃が行われていることを発表した

 CISAは韓国のヘルスケア業界しか触れていなかったが、カスペルスキーはロシア、日本、インド、ベトナムなどにも被害を及ぼしていると判断している。

 とある攻撃のタイムラインを見ると2020年12月25日に疑わしいツールが埋め込まれ、2021年4月15日に「DTrack」というスパイウェアを感染させ、9時間後にMauiランサムウェアを実行している。この例ではHTTPサーバーの脆弱性を悪用しており、1つのドメインコントローラーのみにMauiランサムウェアを入れていた。

ランサムウェアの拡散は場当たり的で洗練されていないと分析している
最近は新種のランサムウェア「Maui」を使用している。攻撃のタイムラインを確認するとDtrackを使ってMauiを実行。画面の例では起動コマンドから特定ドライブのみを暗号化していることが分かる

 パク氏は次に、Lazarusについて紹介した。別名「Hidden Cobra」や「Zinc」として知られている。活動内容は金銭的目的やサイバースパイ行為、重要データの窃取を行っており、前述したようにSPEへのハッキングは彼らの仕業と判断している。

 世界各地の暗号資産取引所への攻撃、セキュリティリサーチャーへの攻撃、防衛産業データの窃取も行っている。また、複数のマルウェアクラスターを使って攻撃の種類を増やしており、クラスターを維持する余力があるので小さな組織ではないという。

北朝鮮の国家的支援を受けているとされているLazarusはサイバースパイ活動だけでなく、金銭的な目的でも動いている
Lazarusが大きなグループと判断しているデータの1つが「マルウェアグループを複数使っている」ことだ。リソースが多くないとこのようなことはできない

 マルウェアクラスターの中でCookieTimeマルウェアに関して解説した。これは「LCPDot」という別名があり、JPCERT/CCでも発表がある。カスペルスキーは2020年からこのマルウェアクラスターを監視しており、主に防衛産業と製薬業界をターゲットにしているという。

 CookieTimeは悪意のあるWordドキュメント、もしくはトロイの木馬型アプリケーションを使ってCookieTime本体をダウンロードし、C2サーバーからの指示で様々な行動を起こす。カスペルスキーのテレメトリー調査ではロシアと韓国の防衛産業、日本、南アフリカ、英国、米国の製薬業界に攻撃をしたと判断している。

Lazarusが使用しているマルウェアの中でも新しいCookie Timeは防衛産業・製薬産業を狙っており、ターゲットには日本も含まれている

BlueNoroffは高度なソーシャルエンジニアリングで金融機関や暗号資産/Defi/NFTを狙う

 最後に紹介したのが「BlueNoroff」で「APT38」とも呼ばれている。2017年にカスペルスキーが報告した攻撃グループで、主に銀行、暗号資産会社、カジノのような金融機関をターゲットとしており、近年は暗号資産も資金が集まって匿名性が高いのでフォーカスしている。

 最近はDefi(分散型金融)やNFT業界もターゲットにしており、攻撃活動「SnatchCryptoキャンペーン」ではソーシャルメディアを使って、暗号資産のスタートアップ企業を入念に調査し、さらにソーシャルメディア経由で被害者にコンタクトを取り、信頼を得たのちにスピアフィッシングを行っていた。高度なソーシャルエンジニアリングテクニックを使っているのが特徴となっている。

BlueNoroffグループは2017年にカスペルスキーが報告したグループで別名「APT38」。主に金融機関を狙っており、最近は暗号資産やDefi、NTFも継続的に攻撃している

 SnatchCryptoキャンペーンでの感染手段は2種類あり、「DangerousPassword」と呼ばれる手法ではZIPファイル内にあるショートカットファイルをクリックさせることにより、最終的にキーロガーやスクリーンショット撮影機能のあるマルウェアが仕込まれるが、手順が多いのが特徴だ。もう1つの手法は悪意のあるWordドキュメントを開かせることで、リモートからダウンロードを行い、最終的に永続的なバックドアを開く。

SnatchCryptoキャンペーンでは相手企業を入念に調査し、ソーシャルエンジニアリングを使って相手の信用を得てからスピアフィッシングを仕掛けている
ドキュメント以外に.lnkファイルをクリックさせることによって複数の経路を経て最終的にマルウェアを仕込む
別の感染手法として悪意のあるリモートテンプレート入りのドキュメントを開かせることでバックドアを開く手法もある

 暗号資産の窃取には被害者をある程度監視した上で、標的が「Metamask」という暗号資産管理に使うChrome拡張機能を使っていることを認識すると、悪意のあるスクリプトを埋め込み、送金先や送金金額を変更して暗号資産を窃取する。

 また、Windowsのセキュリティ警告機能「Mark of the Web」をすり抜けるためisoやvhd形式のアーカイブ形式で送ることで回避する手法も利用している。このケースではファイルになっているものはダウンローダーで、最終的なバックドアはファイルにせずメモリ内だけで動作させることで、解析・検知を困難にしている。

標的の環境を詳しく調査し、暗号資産管理に使うMetaMaskというChrome拡張機能を使っていることを認識した場合、悪意のあるスクリプトを入れることで、攻撃者側に送金するように仕向けている
ダウンロードファイルに対するWindowsの対策をすり抜ける手法も利用している

 BlueNoroffは日本の金融機関やベンチャーキャピタルと紛らわしい悪性のドメインを使っていることで、日本企業の金融企業に高い関心を持っていると推定している。冒頭で紹介した金融庁などの注意喚起は「ラザルスと呼称されるサイバー攻撃グループ」となっているが、攻撃内容を見るとBlueNoroffによる攻撃のようだ。

パク氏は日本の金融機関やベンチャーキャピタルと紛らわしいドメインを使用していることも指摘し、日本の企業もターゲットになっていると示唆

 まとめとして、脅威の展望は劇的に変化しており、Lazarusは当初、韓国語圏のみを対象としていると思われたのが、組織が分化し、熟練度も上げ、新しいテクニックも採用しており対応が難しくなっている。そのため、防御には脅威の全容を理解した上で、多様な対応をしなければならない。脅威アクターのTTPの理解を行い、そのTTPに適応したアクションの取れる脅威インテリジェンスが必要だと結論付けた。

脅威アクターは資金力が豊富な熟練したチームであり、新技術も積極的に取り入れているので、驚異の全体像を理解し、適切な対応策を取る必要がある。また、敵のTTPも把握する必要があるという