【サイバー攻撃】北朝鮮の攻撃グループ「Lazarus」の日本での活動を観測、カスペルスキーが注意を呼び掛け [エリオット★]
■ このスレッドは過去ログ倉庫に格納されています
さまざまなOSを標的とした攻撃に使用されるマルウェアフレームワーク「MATAフレームワーク」や「VHDランサムウェア」について、攻撃グループ「Lazarus(別名:HiddenCobra)」の関与があることを株式会社カスペルスキーが明らかにした。
□Windows/Mac/Linux版が存在する「MATAフレームワーク」
Lazarusは北朝鮮の国家支援型サイバー攻撃グループで、2009年から活動が観測されている。
MATAフレームワークは、ローダーやプラグインのほか、マルウェアの設定データやプラグインの読み込み、指令サーバーとのやりとりを行うオーケストレーターなど、さまざまなコンポーネントから構成されている。Windows版、Mac版、Linux版が存在しており、攻撃の痕跡から2018年4月ごろから使われていることが分かった。
https://internet.watch.impress.co.jp/img/iw/docs/1275/791/01.jpg
ローダーやプラグイン、オーケストレーターなどから構成される「MATAフレームワーク」
Linux版はオーケストレーターとプラグインのほか、正規のコマンドラインツールである「socat」と、Atlassian Confluence Serverの脆弱性(CVE-2019-3396)を悪用するスクリプトが含まれていた。また、機能面ではほぼ同じであるMac版は、オープンソースソフトウェアを基にした、トロイの木馬化されたアプリが見つかっている。
攻撃の主な対象は、ソフトウェア開発企業、eコマース企業、インターネットサービスプロバイダーなどで、ポーランド、ドイツ、トルコ、韓国、インドのほか、日本国内においても攻撃が観測されている。標的企業から顧客データベースを探し出してデータを盗むために利用されている可能性があり、ある事例ではランサムウェアの拡散にも利用されていることを確認している。
https://internet.watch.impress.co.jp/img/iw/docs/1275/791/a1.jpg
株式会社カスペルスキーの石丸傑氏(グローバル調査分析チームマルウェアリサーチャー)
MATAフレームワークのオーケストレーターから特徴的な文字列「c_2910.cls」「k_3872.cls」が見つかったが、攻撃グループのLazarusが使用した「Manuscryptバックドア」にも同様の文字列が含まれており、設定情報などのデータ構造も似ていることから、カスペルスキーの石丸傑氏(グローバル調査分析チームマルウェアリサーチャー)は同グループが関与している可能性があるという。
https://internet.watch.impress.co.jp/img/iw/docs/1275/791/02.jpg
オーケストレーターから特徴的な文字列「c_2910.cls」「k_3872.cls」が見つかった
>>2 へ続く
□関連リンク
MATA:マルチプラットフォームなマルウェアフレームワーク(カスペルスキー)
https://blog.kaspersky.co.jp/mata-framework/28875/
Lazarusの実験的ランサムウェア攻撃(カスペルスキー)
https://blog.kaspersky.co.jp/lazarus-vhd-ransomware/28892/
2020年9月25日 13:04
INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1275791.html >>1 から続く
□「VHDランサムウェア」にも共通点を発見
VHDランサムウェアを用いた攻撃にもLazarusが関与している可能性があることを同氏は指摘する。
VHDランサムウェアは、暗号化したファイルの拡張子に「.vhd」を使用する、身代金要求型のランサムウェアだ。同ランサムウェアを用いた攻撃は欧州や日本国内で3月から観測されている。
感染までの流れだが、SSL-VPN製品の脆弱性を悪用することでVPNをバイパスして内部ネットワークへ侵入し、内部端末にてSMBv1の脆弱性「MS17-010」を悪用してファイルレス型のバックドアを感染させて指令サーバーと通信を行う。また、「AdFind」「Sysinternals」などの正規ツールを用いて内部ネットワークを探索し、ユーザー情報や端末情報に加えてドメイン管理者の認証情報の窃取を行う。
https://internet.watch.impress.co.jp/img/iw/docs/1275/791/03.jpg
「VHDランサムウェア」感染までの流れ
その後、取得したドメイン管理者の認証情報を用いて各端末上にダウンローダーを複製してリモートで実行する。ダウンローダーによってVHDランサムウェアがダウンロードされ、最終的に各端末上のファイルが暗号化されるようになる。
ファイルレス型のバックドアについて解析したところ、複数のMATAプラグインとオーケストレーターが攻撃起点となった端末から発見されたことからLazarusが関与している可能性が出てきたという。そのため、同グループが日本国内を含めて活動を活発化している恐れがあるとみている。
https://internet.watch.impress.co.jp/img/iw/docs/1275/791/04.jpg
痕跡からLazarusが関与している可能性が出てきた
石丸氏はこれらの脅威への対策として、セキリティアップデートの実施、EDR製品の導入やランサムウェア対策のバックアップ、アクセスコントロールの見直しなどを行うよう注意を呼び掛けた。 おまえのIPアドレスは
192.168.11.
今日はこれくらいにしておいてやろう・・・ 北朝鮮の優れたハッカーはアメリカに亡命した暁には
もれなく10万ドル差し上げよう♪って情報を大量に流せばいいんだよ! デジタル庁が日本でもやるからハッカー募集中だって? >>3
怒ったぞ、かわりにお前のもばらしてやる。
ホスト名がlocalhostだろ、どうだ? そういや、日本で最初にビットコインで損出した
外国人社長が、ニヤニヤ笑いながら会見してたけど
あいつその後、どこで何やって暮らしてるんだろう
逃げ切ったんかな ゴミ以下の貧乏国なのにサイバー技術は日本の遥か上を行ってるらしい
金融システムを破壊されないようにしないと大変なことになるぞ >>1
ハッカー連中はこぞって 日本のシステムを構築してやってくれくれないか?誰も 組めてなくボロボロだ それと ついででよいから防衛庁 法務省も構築してやってくれ 頼んだぞ >>13
日本では居ないなぁ 金融関係は突破されたぞ
つまり システムプログラムを組める 天才レベルのハッカーの居場所 歩いて地道に探さないと 日本も金をばら撒いてくれ まぁいつも通り韓国経済がピンチになると
北のハッカー連中が急激に活発化する
そしてそういうときに限ってなぜか色々と見ないふりして隠蔽する日本の金融扱う組織
バカじゃねぇのマジで自分らの財産それで消えるんだけど大丈夫だと思ってんの?
未来のお財布消滅するのにね 日本政府は天才レベルのハッカーを探せよ その方が10年早い 手間も掛からない 周回遅れの日本 【第二波のウイルス感染】とは全てのプログラムを壊す事かと思う 日本政府 まじかよ、どうしよう。
セキュリティソフトってトレンドマイクロのとこ以外でどこが良いんだろ?(´・ω・`) >>19
どんなに優秀でも仕事量が多すぎて対応できない
軍隊と同じ >>21
トレンドマイクロもあかんやろ。
俺はESETだが。 アメリカからバックドアの存在を指摘されているカスペルスキーさん _ノ乙(、ン、)_セキュリティログが溜まりまくりよ そういや、セキュリティソフトはwindowsの標準のやつ使ってるけど、大丈夫かって思う
本当は昔みたいにZonealarmで全ポート塞いでから、必要に応じて逐次開放するのが
安心なんだろうけど、非常にめんどくさいしな ●外国のサイバー攻撃集団
北朝鮮の「Lazarus」、中国の「五毛党」、
この二つの集団に日本の政府や企業の機密情報
が抜かれていることは前から分かっている。
それでもあまり気にしてないのが日本の特徴だ。
これも日本人の平和ボケによるものだ。 中共系は論外だがロシア系も信用できん
DuckDuckGoもロシア臭いし
XP時代にはカスペもサンドボックスかで使ってた気もするが マイクロソフトはWin10で他社セキュリティソフトが穴になるから入れるなって言ってなかったか?
自分とこでも出してるしOS開発元として正しい姿勢だと思う いつまで経ってもAndroid11に対応しないカスペルスキーなんて信用できね〜 北のサイバー部隊
3000人
天才を 半島中から 集合 win10でノートンをアンインストールするべきか悩んでいる
Windows Defenderを頼るか悩むわ コインチェックやマウントゴックスもLazarusだろ >>10
なにぃ!?
127.0.0.1ではないのか!? 北は何で国外にネット繋げるんだよ
他国は基幹部分で通信弾けや ラザルス=不死者
この手のグループって厨二名つけたがるよね、アノニマスといい勝負 近隣国に好き放題去れてる日本、基礎基本を忘れたのか、金までとられ 北が攻撃してロシアがセキュリソフトってあからさまなマッチポンプ >>13
でも社会不適応のハッカーが好きそうな国なんだよな北は
スキルあって魂売り渡せば意外と快適なんじゃないの 既にライフラインの電気系統や工場の稼働システム内に…かもよ ■ このスレッドは過去ログ倉庫に格納されています