-
さまざまなOSを標的とした攻撃に使用されるマルウェアフレームワーク「MATAフレームワーク」や「VHDランサムウェア」について、攻撃グループ「Lazarus(別名:HiddenCobra)」の関与があることを株式会社カスペルスキーが明らかにした。
□Windows/Mac/Linux版が存在する「MATAフレームワーク」
Lazarusは北朝鮮の国家支援型サイバー攻撃グループで、2009年から活動が観測されている。MATAフレームワークは、ローダーやプラグインのほか、マルウェアの設定データやプラグインの読み込み、指令サーバーとのやりとりを行うオーケストレーターなど、さまざまなコンポーネントから構成されている。Windows版、Mac版、Linux版が存在しており、攻撃の痕跡から2018年4月ごろから使われていることが分かった。
ローダーやプラグイン、オーケストレーターなどから構成される「MATAフレームワーク」Linux版はオーケストレーターとプラグインのほか、正規のコマンドラインツールである「socat」と、Atlassian Confluence Serverの脆弱性(CVE-2019-3396)を悪用するスクリプトが含まれていた。また、機能面ではほぼ同じであるMac版は、オープンソースソフトウェアを基にした、トロイの木馬化されたアプリが見つかっている。
攻撃の主な対象は、ソフトウェア開発企業、eコマース企業、インターネットサービスプロバイダーなどで、ポーランド、ドイツ、トルコ、韓国、インドのほか、日本国内においても攻撃が観測されている。標的企業から顧客データベースを探し出してデータを盗むために利用されている可能性があり、ある事例ではランサムウェアの拡散にも利用されていることを確認している。
株式会社カスペルスキーの石丸傑氏(グローバル調査分析チームマルウェアリサーチャー)MATAフレームワークのオーケストレーターから特徴的な文字列「c_2910.cls」「k_3872.cls」が見つかったが、攻撃グループのLazarusが使用した「Manuscryptバックドア」にも同様の文字列が含まれており、設定情報などのデータ構造も似ていることから、カスペルスキーの石丸傑氏(グローバル調査分析チームマルウェアリサーチャー)は同グループが関与している可能性があるという。
オーケストレーターから特徴的な文字列「c_2910.cls」「k_3872.cls」が見つかった>>2 へ続く
□関連リンク
MATA:マルチプラットフォームなマルウェアフレームワーク(カスペルスキー)
https://blog.kaspersky.co.jp/mata-framework/28875/
Lazarusの実験的ランサムウェア攻撃(カスペルスキー)
https://blog.kaspersky.co.jp/lazarus-vhd-ransomware/28892/2020年9月25日 13:04
INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1275791.html - >>1 から続く
□「VHDランサムウェア」にも共通点を発見
VHDランサムウェアを用いた攻撃にもLazarusが関与している可能性があることを同氏は指摘する。VHDランサムウェアは、暗号化したファイルの拡張子に「.vhd」を使用する、身代金要求型のランサムウェアだ。同ランサムウェアを用いた攻撃は欧州や日本国内で3月から観測されている。
感染までの流れだが、SSL-VPN製品の脆弱性を悪用することでVPNをバイパスして内部ネットワークへ侵入し、内部端末にてSMBv1の脆弱性「MS17-010」を悪用してファイルレス型のバックドアを感染させて指令サーバーと通信を行う。また、「AdFind」「Sysinternals」などの正規ツールを用いて内部ネットワークを探索し、ユーザー情報や端末情報に加えてドメイン管理者の認証情報の窃取を行う。
「VHDランサムウェア」感染までの流れその後、取得したドメイン管理者の認証情報を用いて各端末上にダウンローダーを複製してリモートで実行する。ダウンローダーによってVHDランサムウェアがダウンロードされ、最終的に各端末上のファイルが暗号化されるようになる。
ファイルレス型のバックドアについて解析したところ、複数のMATAプラグインとオーケストレーターが攻撃起点となった端末から発見されたことからLazarusが関与している可能性が出てきたという。そのため、同グループが日本国内を含めて活動を活発化している恐れがあるとみている。
痕跡からLazarusが関与している可能性が出てきた石丸氏はこれらの脅威への対策として、セキリティアップデートの実施、EDR製品の導入やランサムウェア対策のバックアップ、アクセスコントロールの見直しなどを行うよう注意を呼び掛けた。
- おまえのIPアドレスは
192.168.11.
今日はこれくらいにしておいてやろう・・・
- >>3
怒ったぞ、かわりにお前のもばらしてやる。ホスト名がlocalhostだろ、どうだ?
- >>3
11.の次は? - なんjかチョンモメンだろ
- >>1
活動資金はパチョンコニダよ - 北朝鮮の優れたハッカーはアメリカに亡命した暁には
もれなく10万ドル差し上げよう♪って情報を大量に流せばいいんだよ! - デジタル庁が日本でもやるからハッカー募集中だって?
- t
- マイナンバー情報もいかれるんやろうなぁ・・・
- そういや、日本で最初にビットコインで損出した
外国人社長が、ニヤニヤ笑いながら会見してたけど
あいつその後、どこで何やって暮らしてるんだろう
逃げ切ったんかな - ゴミ以下の貧乏国なのにサイバー技術は日本の遥か上を行ってるらしい
金融システムを破壊されないようにしないと大変なことになるぞ - >>13
日本では居ないなぁ 金融関係は突破されたぞつまり システムプログラムを組める 天才レベルのハッカーの居場所 歩いて地道に探さないと 日本も金をばら撒いてくれ
- >>1
ハッカー連中はこぞって 日本のシステムを構築してやってくれくれないか?誰も 組めてなくボロボロだ それと ついででよいから防衛庁 法務省も構築してやってくれ 頼んだぞ - まぁいつも通り韓国経済がピンチになると
北のハッカー連中が急激に活発化する
そしてそういうときに限ってなぜか色々と見ないふりして隠蔽する日本の金融扱う組織
バカじゃねぇのマジで自分らの財産それで消えるんだけど大丈夫だと思ってんの?
未来のお財布消滅するのにね - カスペルスキーもロシアのマルウェアやろ
- むずい
もう少し簡単に頼む - 日本政府は天才レベルのハッカーを探せよ その方が10年早い 手間も掛からない 周回遅れの日本
- >>19
どんなに優秀でも仕事量が多すぎて対応できない
軍隊と同じ - 【第二波のウイルス感染】とは全てのプログラムを壊す事かと思う 日本政府
- まじかよ、どうしよう。
セキュリティソフトってトレンドマイクロのとこ以外でどこが良いんだろ?(´・ω・`) - >>21
トレンドマイクロもあかんやろ。
俺はESETだが。 - アメリカからバックドアの存在を指摘されているカスペルスキーさん
- _ノ乙(、ン、)_セキュリティログが溜まりまくりよ
- そういや、セキュリティソフトはwindowsの標準のやつ使ってるけど、大丈夫かって思う
本当は昔みたいにZonealarmで全ポート塞いでから、必要に応じて逐次開放するのが
安心なんだろうけど、非常にめんどくさいしな
【サイバー攻撃】北朝鮮の攻撃グループ「Lazarus」の日本での活動を観測、カスペルスキーが注意を呼び掛け
ビジネスニュース+
コメント