イーセットのサイバー・セキュリティ専門家が、北朝鮮のハッカー集団として知られるラザルス・グループの新たなマルウェアである「ライトレスキャン」による脅威について、過去のバージョンよりも検出が困難になっていると、暗号資産関連企業に警告している。

　同社によると、このマルウェアは主に雇用詐欺に使われ、ユーザーを誘導して会社関連の文書や課題に見せかけた悪意のあるペイロードをインストールさせるという。

　同社は、９月２９日のブログ記事の中で、この新たなマルウェアの仕組み、ネットワーク・システムへの被害、サイバー・スパイ活動に繋がる様々な実行の連鎖などを取り上げた。

　ラザルス・グループは、何百万ドルにも達する複数の暗号資産ハッキングに関係しており、スポーツ賭博プラットフォームのステーク・ドットコムから４０００万ドル超が失われた事件で特に有名だ。

　同グループは、数百万ドルが盗まれたビッサムやナイスハッシュの事件、そしてアストラゼネカ、ソニーといった伝統的企業へのハッキングやワナクライなどとも繋がりがある。

●仕組み

　サイバー・セキュリティ専門家は、ハッカーがＲＡＴ（遠隔操作ウイルス）を使って被害者のネットワークにペイロードを送っており、これは過去のバージョンよりも遥かに洗練されていると説明した。

　「ライトレスキャンは様々なウィンドウズのネイティブ・コマンドの機能を模倣しており、目立つコンソール実行の代わりにＲＡＴ内での密かな実行が可能になっている。この戦略的変化によってステルス性が高まり、攻撃者の活動を検出・分析にすることがより困難になっている」

　ライトレスキャンは、実行中にペイロードの保護機構として機能するガードレールも使用しており、「サイバー・セキュリティ研究者などの意図しないマシン上での無許可の復号化を効果的に阻止」しているという。

　このレポートによると、ソーシャル・メディアでの雇用活動を通じて最初のアクセスを得た後、アマゾンの事件などで過去に使用された、２５６ビットのキーを備えたＡＥＳ－１２８及びＲＣ６による複数の暗号化が使われていたという。

　最終段階のＲＡＴ導入は、ペイロードと共にシステムに組み込まれたドロッパーとローダーで行われる。

　「この活動で用いられる最も興味深いペイロードはライトレスキャンであり、これは同グループの主力であるブラインディングキャンというＨＴＴＰ（Ｓ）ラザルスＲＡＴの後継だ。ライトレスキャンは、新たな複雑なＲＡＴであり、カスタム関数テーブルでインデックスされた最大６８種のコマンドに対応しているが、現行のバージョン１．０では、これらのコマンドのうち４３種のみが機能を有している」

　最後に、このセキュリティ・チームは、デジタルの安全を実現し詐欺の発生を劇減させるため、これらの詐欺への認識を新たにするよう呼びかけた。

●事例研究としてのスペインの航空宇宙会社

　同社は、この新たなライトレスキャンのモデルを使用した、スペインの航空宇宙会社へのラザルス・グループのハッキングを同定した。

　犯人らは、この会社へのリクルーターとして一連の標的型活動を行った後、２２年に同社のネットワークへのアクセスを得た。

　犯人らはリンクトインを通じて被害者と接触し、採用活動の一環として２つのコーディング課題を送った。最初の課題は「ハロー・ワールド！」の表示で、２つ目の課題はフィボナッチ数列の表示に関するものだった。

（イメージ写真提供：１２３ＲＦ）

https://cryptonews.com/news/lazarus-groups-new-malware-harder-detect-cyber-security-firm-warns-crypto-firms.htm

This story originally appeared on cryptonews.com.

最新記事
ランキングページ
ビットコイン詳細ページ
イーサ詳細ページ
ＸＲＰ詳細ページ