特集

北朝鮮の攻撃グループ「Lazarus」の日本での活動を観測、カスペルスキーが注意を呼び掛け

 さまざまなOSを標的とした攻撃に使用されるマルウェアフレームワーク「MATAフレームワーク」や「VHDランサムウェア」について、攻撃グループ「Lazarus(別名:HiddenCobra)」の関与があることを株式会社カスペルスキーが明らかにした。

Windows/Mac/Linux版が存在する「MATAフレームワーク」

 Lazarusは北朝鮮の国家支援型サイバー攻撃グループで、2009年から活動が観測されている。

 MATAフレームワークは、ローダーやプラグインのほか、マルウェアの設定データやプラグインの読み込み、指令サーバーとのやりとりを行うオーケストレーターなど、さまざまなコンポーネントから構成されている。Windows版、Mac版、Linux版が存在しており、攻撃の痕跡から2018年4月ごろから使われていることが分かった。

ローダーやプラグイン、オーケストレーターなどから構成される「MATAフレームワーク」

 Linux版はオーケストレーターとプラグインのほか、正規のコマンドラインツールである「socat」と、Atlassian Confluence Serverの脆弱性(CVE-2019-3396)を悪用するスクリプトが含まれていた。また、機能面ではほぼ同じであるMac版は、オープンソースソフトウェアを基にした、トロイの木馬化されたアプリが見つかっている。

 攻撃の主な対象は、ソフトウェア開発企業、eコマース企業、インターネットサービスプロバイダーなどで、ポーランド、ドイツ、トルコ、韓国、インドのほか、日本国内においても攻撃が観測されている。標的企業から顧客データベースを探し出してデータを盗むために利用されている可能性があり、ある事例ではランサムウェアの拡散にも利用されていることを確認している。

株式会社カスペルスキーの石丸傑氏(グローバル調査分析チームマルウェアリサーチャー)

 MATAフレームワークのオーケストレーターから特徴的な文字列「c_2910.cls」「k_3872.cls」が見つかったが、攻撃グループのLazarusが使用した「Manuscryptバックドア」にも同様の文字列が含まれており、設定情報などのデータ構造も似ていることから、カスペルスキーの石丸傑氏(グローバル調査分析チームマルウェアリサーチャー)は同グループが関与している可能性があるという。

オーケストレーターから特徴的な文字列「c_2910.cls」「k_3872.cls」が見つかった

「VHDランサムウェア」にも共通点を発見

 VHDランサムウェアを用いた攻撃にもLazarusが関与している可能性があることを同氏は指摘する。

 VHDランサムウェアは、暗号化したファイルの拡張子に「.vhd」を使用する、身代金要求型のランサムウェアだ。同ランサムウェアを用いた攻撃は欧州や日本国内で3月から観測されている。

 感染までの流れだが、SSL-VPN製品の脆弱性を悪用することでVPNをバイパスして内部ネットワークへ侵入し、内部端末にてSMBv1の脆弱性「MS17-010」を悪用してファイルレス型のバックドアを感染させて指令サーバーと通信を行う。また、「AdFind」「Sysinternals」などの正規ツールを用いて内部ネットワークを探索し、ユーザー情報や端末情報に加えてドメイン管理者の認証情報の窃取を行う。

「VHDランサムウェア」感染までの流れ

 その後、取得したドメイン管理者の認証情報を用いて各端末上にダウンローダーを複製してリモートで実行する。ダウンローダーによってVHDランサムウェアがダウンロードされ、最終的に各端末上のファイルが暗号化されるようになる。

 ファイルレス型のバックドアについて解析したところ、複数のMATAプラグインとオーケストレーターが攻撃起点となった端末から発見されたことからLazarusが関与している可能性が出てきたという。そのため、同グループが日本国内を含めて活動を活発化している恐れがあるとみている。

痕跡からLazarusが関与している可能性が出てきた

 石丸氏はこれらの脅威への対策として、セキリティアップデートの実施、EDR製品の導入やランサムウェア対策のバックアップ、アクセスコントロールの見直しなどを行うよう注意を呼び掛けた。