Kasperskyが発見したLazarusの新たなマルウェア
2024年12月、Kasperskyのグローバル調査分析チーム(GReAT)は、悪名高いサイバー攻撃グループ「Lazarus(ラザルス)」が核関連組織の職員を標的とした攻撃活動「Operation DreamJob」の新たな動向を発見しました。この活動では、改ざんされたアーカイブファイルを用いて感染を試み、新たなマルウェア「CookiePlus」を含む高度な技術が使用されています。
LazarusとOperation DreamJob
5年以上続く攻撃活動
Operation DreamJobは2019年に初めて確認され、その後進化を続けながら世界中の組織を標的としています。当初は暗号資産関連の企業を狙っていましたが、2024年にはIT企業や防衛分野、さらには核関連組織にまでその標的を広げています。
巧妙な攻撃手法
今回の攻撃では、IT専門職向けスキル評価テストに見せかけたアーカイブファイルを用いて標的を感染させる手法が確認されました。具体的には、LinkedInなどの求人プラットフォームを通じてターゲットに接触し、複数のアーカイブファイルを送信しました。
CookiePlus:新たな脅威
オープンソースプラグインを偽装
CookiePlusは、オープンソースのNotepad++プラグイン「ComparePlus」を偽装したバックドア型マルウェアです。このマルウェアは以下の特徴を持ちます。
- システム情報の収集: 感染したコンピューター名やプロセスID、ファイルパスを収集し、指令サーバー(C2)に送信。
- 検知回避機能: 動作を遅延させ、侵入時点での検知を回避。
- スケジュール調整: 実行タイミングを変更することで、発見をさらに困難に。
複雑な感染チェーン
Lazarusはダウンローダーやローダー、バックドアなど、さまざまなタイプのマルウェアを使用し、感染チェーンを高度化しています。特に今回は、正規のVNCツールを利用し、トロイの木馬化したソフトウェアで標的を攻撃する手法が確認されました。
核関連組織への攻撃
標的の広がり
今回の攻撃では、ブラジルの核関連組織やベトナムの企業が標的となりました。同じ組織内で複数の職員がターゲットとされ、特にHost AとHost Bと名付けられた従業員が攻撃を受けたことが確認されています。
感染の流れ
初めに送信されたアーカイブファイルが感染の第一段階であり、その後より積極的な攻撃が仕掛けられました。これにより、Lazarusが複数段階の攻撃計画を用いていることが明らかになりました。
Kasperskyのコメント
KasperskyのGReATリサーチャー、リュウ・ソジュン(Sojun Ryu)氏は次のように述べています。
“Operation DreamJobは、データ窃取やスパイ活動のリスクをはらむセンシティブな攻撃です。特にCookiePlusのような高度なマルウェアは、システム上に長期間とどまり、さらに深刻な被害を引き起こす恐れがあります。”
このような高度な脅威に対応するためには、企業のセキュリティ対策の見直しと強化が不可欠です。
今後の展望
企業への提言
- セキュリティ教育の強化: 従業員へのトレーニングを通じて、フィッシングメールや不審なファイルへの対応力を向上。
- 最新ツールの導入: 高度な検知機能を持つセキュリティソリューションの採用。
- 脅威情報の共有: 他の企業やセキュリティ専門家と連携し、最新の脅威情報を活用。
出典:Kaspersky、悪名高いサイバー攻撃グループ「Lazarus」が新しいマルウェアを使用し核関連組織の職員を標的にしていたことを発見