【サイバー攻撃】北朝鮮の攻撃グループ「Lazarus」の日本での活動を観測、カスペルスキーが注意を呼び掛け [エリオット★]

**へっぽこ立て子＠エリオット ★** · 2020/09/25(金) 14:59:53.48

　さまざまなOSを標的とした攻撃に使用されるマルウェアフレームワーク「MATAフレームワーク」や「VHDランサムウェア」について、攻撃グループ「Lazarus（別名：HiddenCobra）」の関与があることを株式会社カスペルスキーが明らかにした。

□Windows/Mac/Linux版が存在する「MATAフレームワーク」
　Lazarusは北朝鮮の国家支援型サイバー攻撃グループで、2009年から活動が観測されている。

　MATAフレームワークは、ローダーやプラグインのほか、マルウェアの設定データやプラグインの読み込み、指令サーバーとのやりとりを行うオーケストレーターなど、さまざまなコンポーネントから構成されている。Windows版、Mac版、Linux版が存在しており、攻撃の痕跡から2018年4月ごろから使われていることが分かった。

https://internet.watch.impress.co.jp/img/iw/docs/1275/791/01.jpg
ローダーやプラグイン、オーケストレーターなどから構成される「MATAフレームワーク」

　Linux版はオーケストレーターとプラグインのほか、正規のコマンドラインツールである「socat」と、Atlassian Confluence Serverの脆弱性（CVE-2019-3396）を悪用するスクリプトが含まれていた。また、機能面ではほぼ同じであるMac版は、オープンソースソフトウェアを基にした、トロイの木馬化されたアプリが見つかっている。

　攻撃の主な対象は、ソフトウェア開発企業、eコマース企業、インターネットサービスプロバイダーなどで、ポーランド、ドイツ、トルコ、韓国、インドのほか、日本国内においても攻撃が観測されている。標的企業から顧客データベースを探し出してデータを盗むために利用されている可能性があり、ある事例ではランサムウェアの拡散にも利用されていることを確認している。

https://internet.watch.impress.co.jp/img/iw/docs/1275/791/a1.jpg
株式会社カスペルスキーの石丸傑氏（グローバル調査分析チームマルウェアリサーチャー）

　MATAフレームワークのオーケストレーターから特徴的な文字列「c_2910.cls」「k_3872.cls」が見つかったが、攻撃グループのLazarusが使用した「Manuscryptバックドア」にも同様の文字列が含まれており、設定情報などのデータ構造も似ていることから、カスペルスキーの石丸傑氏（グローバル調査分析チームマルウェアリサーチャー）は同グループが関与している可能性があるという。

https://internet.watch.impress.co.jp/img/iw/docs/1275/791/02.jpg
オーケストレーターから特徴的な文字列「c_2910.cls」「k_3872.cls」が見つかった

>>2 へ続く

□関連リンク
MATA：マルチプラットフォームなマルウェアフレームワーク（カスペルスキー）
https://blog.kaspersky.co.jp/mata-framework/28875/
Lazarusの実験的ランサムウェア攻撃（カスペルスキー）
https://blog.kaspersky.co.jp/lazarus-vhd-ransomware/28892/

2020年9月25日 13:04
INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1275791.html

**へっぽこ立て子＠エリオット ★** · 2020/09/25(金) 15:00:04.26

>>1 から続く

□「VHDランサムウェア」にも共通点を発見
　VHDランサムウェアを用いた攻撃にもLazarusが関与している可能性があることを同氏は指摘する。

　VHDランサムウェアは、暗号化したファイルの拡張子に「.vhd」を使用する、身代金要求型のランサムウェアだ。同ランサムウェアを用いた攻撃は欧州や日本国内で3月から観測されている。

　感染までの流れだが、SSL-VPN製品の脆弱性を悪用することでVPNをバイパスして内部ネットワークへ侵入し、内部端末にてSMBv1の脆弱性「MS17-010」を悪用してファイルレス型のバックドアを感染させて指令サーバーと通信を行う。また、「AdFind」「Sysinternals」などの正規ツールを用いて内部ネットワークを探索し、ユーザー情報や端末情報に加えてドメイン管理者の認証情報の窃取を行う。

https://internet.watch.impress.co.jp/img/iw/docs/1275/791/03.jpg
「VHDランサムウェア」感染までの流れ

　その後、取得したドメイン管理者の認証情報を用いて各端末上にダウンローダーを複製してリモートで実行する。ダウンローダーによってVHDランサムウェアがダウンロードされ、最終的に各端末上のファイルが暗号化されるようになる。

　ファイルレス型のバックドアについて解析したところ、複数のMATAプラグインとオーケストレーターが攻撃起点となった端末から発見されたことからLazarusが関与している可能性が出てきたという。そのため、同グループが日本国内を含めて活動を活発化している恐れがあるとみている。

https://internet.watch.impress.co.jp/img/iw/docs/1275/791/04.jpg
痕跡からLazarusが関与している可能性が出てきた

　石丸氏はこれらの脅威への対策として、セキリティアップデートの実施、EDR製品の導入やランサムウェア対策のバックアップ、アクセスコントロールの見直しなどを行うよう注意を呼び掛けた。

**名刺は切らしておりまして** · 2020/09/25(金) 15:02:30.40

おまえのIPアドレスは

１９２．１６８．１１．

今日はこれくらいにしておいてやろう・・・

**名刺は切らしておりまして** · 2020/09/25(金) 15:04:01.46

なんｊかチョンモメンだろ

**名刺は切らしておりまして** · 2020/09/25(金) 15:09:00.93

>>1
活動資金はパチョンコニダよ

**名刺は切らしておりまして** · 2020/09/25(金) 15:12:59.33

北朝鮮の優れたハッカーはアメリカに亡命した暁には
もれなく10万ドル差し上げよう♪って情報を大量に流せばいいんだよ！

**名刺は切らしておりまして** · 2020/09/25(金) 15:17:34.36

デジタル庁が日本でもやるからハッカー募集中だって？

**名刺は切らしておりまして** · 2020/09/25(金) 15:18:40.50

**名刺は切らしておりまして** · 2020/09/25(金) 15:20:52.70

マイナンバー情報もいかれるんやろうなぁ・・・

**名刺は切らしておりまして** · 2020/09/25(金) 15:23:32.97

>>3
怒ったぞ、かわりにお前のもばらしてやる。

ホスト名がlocalhostだろ、どうだ？

**名刺は切らしておりまして** · 2020/09/25(金) 15:27:24.38

そういや、日本で最初にビットコインで損出した
外国人社長が、ニヤニヤ笑いながら会見してたけど
あいつその後、どこで何やって暮らしてるんだろう
逃げ切ったんかな

**名刺は切らしておりまして** · 2020/09/25(金) 15:27:44.25

>>3
１１.の次は？

**名刺は切らしておりまして** · 2020/09/25(金) 15:33:05.87

ゴミ以下の貧乏国なのにサイバー技術は日本の遥か上を行ってるらしい
金融システムを破壊されないようにしないと大変なことになるぞ

**名刺は切らしておりまして** · 2020/09/25(金) 15:33:12.13

>>1
ハッカー連中はこぞって日本のシステムを構築してやってくれくれないか？誰も組めてなくボロボロだそれとついででよいから防衛庁法務省も構築してやってくれ頼んだぞ

**名刺は切らしておりまして** · 2020/09/25(金) 15:36:06.95

>>13
日本では居ないなぁ金融関係は突破されたぞ

つまりシステムプログラムを組める天才レベルのハッカーの居場所歩いて地道に探さないと日本も金をばら撒いてくれ

**名刺は切らしておりまして** · 2020/09/25(金) 15:36:24.96

まぁいつも通り韓国経済がピンチになると
北のハッカー連中が急激に活発化する
そしてそういうときに限ってなぜか色々と見ないふりして隠蔽する日本の金融扱う組織
バカじゃねぇのマジで自分らの財産それで消えるんだけど大丈夫だと思ってんの？
未来のお財布消滅するのにね

**名刺は切らしておりまして** · 2020/09/25(金) 15:38:35.99

カスペルスキーもロシアのマルウェアやろ

**名刺は切らしておりまして** · 2020/09/25(金) 15:39:28.10

むずい
もう少し簡単に頼む

**名刺は切らしておりまして** · 2020/09/25(金) 15:40:03.31

日本政府は天才レベルのハッカーを探せよその方が10年早い手間も掛からない周回遅れの日本

**名刺は切らしておりまして** · 2020/09/25(金) 15:42:00.16

【第二波のウイルス感染】とは全てのプログラムを壊す事かと思う日本政府

**名刺は切らしておりまして** · 2020/09/25(金) 15:42:40.47

まじかよ、どうしよう。
セキュリティソフトってトレンドマイクロのとこ以外でどこが良いんだろ？(´・ω・`)

**名刺は切らしておりまして** · 2020/09/25(金) 15:46:41.11

>>19
どんなに優秀でも仕事量が多すぎて対応できない
軍隊と同じ

**名刺は切らしておりまして** · 2020/09/25(金) 15:48:56.15

>>21
トレンドマイクロもあかんやろ。
俺はESETだが。

**名刺は切らしておりまして** · 2020/09/25(金) 15:49:43.89

アメリカからバックドアの存在を指摘されているカスペルスキーさん

**名刺は切らしておりまして** · 2020/09/25(金) 15:52:49.22

　　＿ﾉ乙(､ﾝ､)＿セキュリティログが溜まりまくりよ

**名刺は切らしておりまして** · 2020/09/25(金) 16:00:09.18

そういや、セキュリティソフトはwindowsの標準のやつ使ってるけど、大丈夫かって思う
本当は昔みたいにZonealarmで全ポート塞いでから、必要に応じて逐次開放するのが
安心なんだろうけど、非常にめんどくさいしな

**名刺は切らしておりまして** · 2020/09/25(金) 16:03:43.57

●外国のサイバー攻撃集団

北朝鮮の「Lazarus」、中国の「五毛党」、
この二つの集団に日本の政府や企業の機密情報
が抜かれていることは前から分かっている。
それでもあまり気にしてないのが日本の特徴だ。
これも日本人の平和ボケによるものだ。

**名刺は切らしておりまして** · 2020/09/25(金) 16:16:08.51

カスペルスキーを信用できません

**名刺は切らしておりまして** · 2020/09/25(金) 16:16:25.83

ある会社で配布された、「新入社員へうちの会社が求めていること」という資料が、すごい本音だった。
http://tesiko.clandestina.org/gv/sVMX6682404

40歳になってようやくわかる8つのこと。

http://tesiko.clandestina.org/pt/YcKf7125930

**名刺は切らしておりまして** · 2020/09/25(金) 16:19:49.02

中共系は論外だがロシア系も信用できん
DuckDuckGoもロシア臭いし
XP時代にはカスペもサンドボックスかで使ってた気もするが

**名刺は切らしておりまして** · 2020/09/25(金) 16:51:32.56

>>3
わははは、ばかめ。
::1だろ。

**名刺は切らしておりまして** · 2020/09/25(金) 17:06:57.30

>>3
これが天才ハッカーの実力か、恐ろしい。

**名刺は切らしておりまして** · 2020/09/25(金) 17:09:17.31

ゆうちょもそうだろ

**名刺は切らしておりまして** · 2020/09/25(金) 17:18:54.59

>>29
こいつも北チョンか？

**名刺は切らしておりまして** · 2020/09/25(金) 17:27:07.66

マイクロソフトはWin10で他社セキュリティソフトが穴になるから入れるなって言ってなかったか？
自分とこでも出してるしOS開発元として正しい姿勢だと思う

**名刺は切らしておりまして** · 2020/09/25(金) 17:48:38.57

NEMは結局どうなった？

**名刺は切らしておりまして** · 2020/09/25(金) 17:54:15.37

いつまで経ってもAndroid11に対応しないカスペルスキーなんて信用できね～

**名刺は切らしておりまして** · 2020/09/25(金) 18:19:01.76

金日成と金正銀の写真をデスクトップにしとくか。

**名刺は切らしておりまして** · 2020/09/25(金) 18:35:09.63

北のサイバー部隊
３０００人
天才を半島中から集合

**名刺は切らしておりまして** · 2020/09/25(金) 18:55:08.89

win10でノートンをアンインストールするべきか悩んでいる
Windows Defenderを頼るか悩むわ

**名刺は切らしておりまして** · 2020/09/25(金) 18:56:54.08

コインチェックやマウントゴックスもLazarusだろ

**名刺は切らしておりまして** · 2020/09/25(金) 19:05:36.57

なんかロシアが攻撃しそうなメンツだなぁ

**名刺は切らしておりまして** · 2020/09/25(金) 19:20:46.27

>>10
なにぃ！？
127.0.0.1ではないのか！？

**名刺は切らしておりまして** · 2020/09/25(金) 19:38:05.16

カスペルスキーってマホーポーシャと似てね？

**名刺は切らしておりまして** · 2020/09/25(金) 20:05:00.79

ケーブル切断で国際的に孤立させたらと思うばかり

**名刺は切らしておりまして** · 2020/09/25(金) 20:37:18.62

北は何で国外にネット繋げるんだよ
他国は基幹部分で通信弾けや

**名刺は切らしておりまして** · 2020/09/25(金) 20:52:41.21

カスペルスキー自体ロシアの諜報機関…

**名刺は切らしておりまして** · 2020/09/25(金) 21:03:14.16

石破氏に大量クリックもこれ

**名刺は切らしておりまして** · 2020/09/25(金) 21:31:28.11

実態は○○総連だろ、〇団も加担してるよな

**名刺は切らしておりまして** · 2020/09/25(金) 22:43:08.46

また、朝鮮人かよ!

**名刺は切らしておりまして** · 2020/09/25(金) 22:48:35.88

チョン学でサイバー攻撃の授業とかやってそう

**名刺は切らしておりまして** · 2020/09/26(土) 04:22:42.86

スターソルジャーのラザロ思い出した。

**名刺は切らしておりまして** · 2020/09/26(土) 12:37:48.07

ラザルス＝不死者
この手のグループって厨二名つけたがるよね、アノニマスといい勝負

**名刺は切らしておりまして** · 2020/09/26(土) 12:40:31.82

>>46
中国経由

**名刺は切らしておりまして** · 2020/09/26(土) 21:31:05.76

近隣国に好き放題去れてる日本、基礎基本を忘れたのか、金までとられ

**名刺は切らしておりまして** · 2020/09/27(日) 22:26:42.66

北が攻撃してロシアがセキュリソフトってあからさまなマッチポンプ

**名刺は切らしておりまして** · 2020/09/28(月) 07:40:05.08

>>13
でも社会不適応のハッカーが好きそうな国なんだよな北は
スキルあって魂売り渡せば意外と快適なんじゃないの

**名刺は切らしておりまして** · 2020/09/28(月) 23:44:48.20

既にライフラインの電気系統や工場の稼働システム内に…かもよ

**名刺は切らしておりまして** · 2020/09/30(水) 05:49:23.11

カスペルスキーてぱよぱよちーんの？