攻撃グループLazarusは侵入時と侵入後に異なるマルウェアを使用(JPCERT/CC) | ScanNetSecurity
2026.03.07(土)

攻撃グループLazarusは侵入時と侵入後に異なるマルウェアを使用(JPCERT/CC)

一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は8月31日、攻撃グループLazarusがネットワーク侵入後に使用するマルウェアについて発表した。

脆弱性と脅威 脅威動向
60 views
facebookLINE
マルウェアの挙動
マルウェアの挙動 全 1 枚 拡大写真
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は8月31日、攻撃グループLazarusがネットワーク侵入後に使用するマルウェアについて発表した。

JPCERT/CCでは、国内組織を狙ったLazarus(Hidden Cobra)と呼ばれる攻撃グループの活動を確認、同グループは攻撃の際、ネットワーク侵入時と侵入後に異なるマルウェアを使用しており、今回は侵入後に使用されたマルウェアの1つについて詳細を紹介している。

確認されたマルウェアは、モジュールをダウンロードして実行するマルウェアで「C:¥Windows¥System32¥」などのフォルダに拡張子drvとして保存され、サービスとして起動しており、コードはVMProtectで難読化されファイルの後半に不要なデータを追加することでファイルサイズが150MBほどになっている。モジュールのダウンロードに成功した以降、モジュールがC2サーバからの命令受信などメインの挙動を行い、通信先や暗号化キーなどはマルウェアから引数として受け取る。

このマルウェアのネットワーク内での横展開には、SMBMapというSMB経由でリモートホストにアクセスするPythonツールを、PyinstallerでWindows実行ファイル化したツールが使用され、攻撃者は事前に取得したアカウント情報をもとにマルウェアを横展開していた。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 問い合わせから全校調査 ~ 市立小中学校が保護者の同意なく PTA に個人情報を提供

    問い合わせから全校調査 ~ 市立小中学校が保護者の同意なく PTA に個人情報を提供

  2. 東海大学委託先 東海ソフト開発へのランサムウェア攻撃、漏えいの対象者数は最大で延べ 193,118 人に

    東海大学委託先 東海ソフト開発へのランサムウェア攻撃、漏えいの対象者数は最大で延べ 193,118 人に

  3. システム改修時の担当者間の作業範囲や役割分担の認識にずれ ~ Sony Music Shopサイトで個人情報が閲覧可能に

    システム改修時の担当者間の作業範囲や役割分担の認識にずれ ~ Sony Music Shopサイトで個人情報が閲覧可能に

  4. サーバに英語で「ネットワークは暗号化した」~ 西山製作所にランサムウェア攻撃

    サーバに英語で「ネットワークは暗号化した」~ 西山製作所にランサムウェア攻撃

  5. 宇宙は聖域ではない ~ 衛星軌道上を時速 2 万キロで飛ぶデバイスにパッチ適用を迫る 地球ではありふれた脆弱性

    宇宙は聖域ではない ~ 衛星軌道上を時速 2 万キロで飛ぶデバイスにパッチ適用を迫る 地球ではありふれた脆弱性

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 脅威動向 記事
TOP