コンテンツを開く

テーマのトレンド

インシデントレスポンス調査中に発見されたLAZARUS GROUPによる暗号通貨業界へのサイバー攻撃

F-Secure Japan

26.08.20 6 min. read

2019 年、エフセキュアでは、暗号通貨業界の企業に対するサイバー攻撃の調査中に、サイバー犯罪グループ Lazarus Group(ラザルス・グループ)による進行中のグローバルフィッシングキャンペーンを発見しました。発見したデータを元にまとめられたインテリジェンスレポートは、暗号通貨業界の企業からの依頼によるインシデントレスポンス調査中に発見されたサンプル、ログ、およびその他の技術的な痕跡に関する分析がまとめられています。

日本語版テクニカルインテリジェンスレポート - LAZARUS GROUPのダウンロード

Lazarus Groupとは

Lazarus Group は、北朝鮮とのつながりが深いとされる、高度な技術を持つ、主に金銭目当ての攻撃を仕掛けるサイバー犯罪者集団です。2019 年の国連報告書によると、少なくとも 2017 年以降、暗号通貨業界の企業を標的としています。

Lazarus Groupのキャンペーンのいくつかのフェイズ(特に最初のアクセス時)は公開されていますが、今回の調査により、侵入後の活動に関する新しい洞察を得ることができました。レポートによると、攻撃に使用された悪意のあるインプラント (密かにインストールされたスパイウェアは、以前にもLazarus Group使用したものと報告されているツールとほぼ同じものでした

エフセキュアでは、標的とされた企業への攻撃を高度な性質のものとし、この活動が少なくとも 2018 年 1 月から進行中のLazarus Groupによるグローバルなフィッシングキャンペーンと関連付けることができました。また、これらの攻撃は、調査のサンプルオープンソースのリポジトリ、独自の情報源から発見されたいくつかの共通の指標を介して、これらの広範な活動にリンクされていました。本レポートの本文および付録には、セキュリティ業界がこれらの詳細を会社の垣根を越えて活用して独自の結論を導き出せるように、可能な範囲で様々な証拠を収録しています。エフセキュアは、こうした情報が標的とされた企業が将来の攻撃からネットワークを保護し、グループの運用コストを高めるうえで役立つものと考えています。

主な調査結果:

Lazarus Group の活動は継続的な脅威です。これらの攻撃に関連付けられたフィッシング攻撃は 2020 年まで継続していることが観測されており、攻撃対象となる業界に属する企業は、引き続き攻撃への強い警戒をおこなう必要があります。エフセキュアの評価では、Lazarus Group は引き続き暗号通貨業界内の企業を攻撃対象とした収益性の高い攻撃を続けています。しかし、攻撃による収益の増加を図るため、サプライチェーン攻撃を組み込み、その攻撃を拡大する可能性もあります。

Lazarus Group は、長期に渡り (少なくとも表面上は) 成功したサイバー攻撃キャンペーンを実行する上で、高度な運用上のセキュリティ意識を有していました。エフセキュアの調査結果は戦略的な情報と一致していますが、Lazarus Group の現在の TTP (戦術、テクニック、手順) について、より詳細な情報を提供しています。したがって、北朝鮮のサイバー活動の標的となる可能性が高い他業種の企業は、本レポートに記載されている技術や、 MITRE ATT&CK フレームワーク中の Lazarus Group の手法に関連した箇所を念頭に置き、自社の検知能力を再考する必要があります。

主要なEDR (エンドポイントの検知と対応) ソリューションとネットワークセキュリティツールがインストールされているにもかかわらず、Lazarus Group に狙われた企業に対する攻撃は成功しました。本レポートでは、ターゲットへの侵入中の検知を回避するためにLazarus Groupが使用する戦術と手法記載しています。また、本レポートの詳細は、Lazarus Group によるサイバー攻撃から企業を防御するブルーチームに攻撃の痕跡の発見の機会を提供しています。

エフセキュアは、効果的な検知能力の構築には、人材が重要な役割を果たしていると考えています。今回の事案は、技術だけでなく人材にも投資する必要があることを示しています。このインシデントは、最先端の攻撃からも企業を安全に保つために、人材とテクノロジーの両方に投資する必要性の例として役立ちます。

本レポートでの記載事項:

  • 最初のアクセスフェイズの詳細、グループが使用した手法、サードパーティのサービスを通じたソーシャルエンジニアリングの活用方法について
  • 侵入後の活動の手法と戦術、検知回避の方法について
  • 標的となった企業のEDRソリューションによってキャプチャされた削除済みサンプルの分析(複雑な制御を回避して検知を回避するために使用されたもの)について
  • 他の業種への攻撃のの際のLazarus GroupによるTTPの再利用について
  • ブルーチームがプロアクティブな手段として活用できる実用的な検知データについて
日本語版テクニカルインテリジェンスレポート - LAZARUS GROUPのダウンロード

 

F-Secure Japan

26.08.20 6 min. read

カテゴリ

注目記事

関連する投稿

Newsletter modal

登録を受付ました。 購読受付のメールをお送りしたのでご確認ください。

Gated Content modal

下のボタンをクリックしてコンテンツを確認ください。