日本を付け狙う北朝鮮の脅威アクター「ラザルス」、その攻撃手法と次の標的

北朝鮮当局のサイバー攻撃グループとされる「ラザルス」が米国やカナダ、日本のインフラ・企業を標的にしている。さらにここ数カ月で、新たなターゲットに目を向けているようだ。

[Matt Kapko，Cybersecurity Dive]

　2022年9月8日（米国時間）に発表されたCisco Talosの調査（注1）によると、2月以降に北朝鮮の国家支援型サイバー攻撃グループである「Lazarus Group」（以下、Lazarus）が米国やカナダ、日本のエネルギーサービスプロバイダー（ESP）を標的にしている。

　このグループは、「VMware Horizon」における「Apache Log4j」の脆弱（ぜいじゃく）性（注2）を悪用して企業のネットワークに侵入し、北朝鮮政府のために企業秘密を盗むスパイ活動を行っていると、Cisco Talosの脅威インテリジェンス研究者は述べている。

　高度で持続的な攻撃は、「VSingle」と「YamaBot」という既知の2種類のマルウェアと、Cisco Talosが発見した「MagicRat」という未知のリモートアクセス型トロイの木馬を使用している。

北朝鮮サイバー攻撃「ラザルス」の魔の手が忍び寄る　次なるターゲットは？

　Lazarusは、重要インフラを標的とする北朝鮮の国家支援型サイバー攻撃グループの1つだ。同様のグループは他にも、「Andariel」「APT38」「BlueNoroff」「Guardians of Peace」「Kimsuky」などが確認されている。同攻撃グループは、ここ数カ月で次のターゲットを決めたようだ。

　「攻撃の主な目的は、被害者のネットワークに侵入して長期にわたり北朝鮮政府の目的を支援するスパイ活動を行うことだと思われる」と、Cisco Talosの研究者はブログ投稿で述べている。

　Cisco Talosの脅威インテリジェンスグループは、Lazarusがカスタム開発したマルウェアを使用して、感染したネットワークを侵入し、移動する方法を詳細に説明した。

　Lazarusが使用し、Cisco Talosが観測したC＆Cサーバおよびペイロードをホスティングするためのインフラで起きていたことは、米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が2022年6月に勧告したVMware Horizonサーバの脆弱性を利用した継続的な攻撃とよく似ている。

　2014年のソニー攻撃や2017年のWannaCryランサムウェア攻撃で知られるLazarusは、ここ数カ月でブロックチェーンや暗号資産関連企業に目を向け、金銭や恐喝の目的を達成するための多様なアプローチを取っている。

　米国務省は2022年7月、Lazarusに関連する個人的な情報や、重要インフラを標的とする他の攻撃グループに関する情報への報奨金を最大1000万ドルまで倍増させた（注3）。

出典：Energy providers hit by North Korea-linked Lazarus exploiting Log4j VMware vulnerabilities（CyberSecurity Dive）

注1：Lazarus and the tale of three RATs

注2：Persistent vulnerabilities put VMware on the defense

注3：CISA releases indicators of compromise for hard-hit VMware Horizon