サイバー攻撃組織「Lazarus」Ｑ＆Ａ

　株式会社カスペルスキーは1月11日、サイバー攻撃グループLazarus活動状況についてのQ&Aを同社ブログで発表した。カスペルスキーのグローバル調査チームGReATのAPAC地域リードセキュリティリサーチャーのパク・ソンスー氏が回答している。

　GReATが長年、研究しているAPT（持続的標的型）攻撃グループ「Lazarus」は、金銭窃取やデータ破壊を目的に2009年からサイバー諜報活動や業務妨害攻撃を行う特に悪質な集団で、被害は主に、韓国、日本、インド、中国、ブラジル、ロシア、トルコなどに及んでいる。

　Lazarusが使用するマルウェアの実行ファイルサンプルのうち3分の2に韓国語話者の要素があり、グリニッジ標準時+8～9時間のタイムゾーンにおける就業時間中にプログラムがコンパイルされる、など複数の特徴がある。金融庁と警察庁、内閣サイバーセキュリティセンターでは2022年10月に、日本などの暗号資産関連事業者などを標的として活動していると注意喚起の文書を公表している。

　パク・ソンスー氏はLazarusの歴史について、2013年に韓国メディアや金融機関などを標的としたDarkSeoulと呼ばれるサイバー攻撃を主導したことで広く知られるようになり、翌2014年にはアメリカのソニー・ピクチャーズ・エンターテイメント（SPE）のサーバをハッキングし、社外秘の機密情報を大量に流出させたと報道されている。

　2016年には、カスペルスキー含むセキュリティベンダーが協力してLazarusの一連のAPT活動を調査・分析し、その成果をOperation Blockbusterとして公表したが、その際に初めて「Lazarus」と呼ばれるようになった。

　2016年には、バングラデッシュ中央銀行から約9億5,100万ドルを盗み出す計画が発覚し、その一部である8,100万ドルの強盗事件が発生している。容疑者は、Lazarusグループとつながりがあると考えられているが、TTPs（戦術、技術、手順）が最初の攻撃とは異なるため、Lazarusから派生したグループとして「BlueNoroff」と名付けられた。2017年には、韓国の金融機関を標的としたLazarusの派生グループ「Andariel」による攻撃が確認されている。

　また「Lazarus」と同グループから派生した「BlueNoroff」「Andariel」の特徴について、下記の通り回答している。

・Andariel
　2017年に韓国のFSIによって特定されたラザルス傘下のグループの1つであるAndarielの感染手法は、悪意のあるドキュメントやPDFリーダーのゼロデイエクスプロイトを悪用し、メモリ上にペイロードを展開しバックドアやランサムウェアを感染させるようにデザインされている。

　Andarielの標的は主に韓国に集中し、軍事、防衛、インターネット起業、金融機関といった組織が狙わる傾向にあったが、2020年の12月に既知の「DTrack」バックドアとランサムウェア「Maui」が日本国内の組織を標的とした攻撃活動として新たに観測されている。

・Lazarus
　主に金銭目的で金融プロジェクトを狙ったり、サイバースパイ活動を行っている。主なキャンペーンとしては、SPEへのサイバー攻撃、暗号資産取引所への攻撃、サイバーセキュリティ研究者、防衛関連企業への攻撃など。

　Lazarusグループでは2018年頃から、様々な種類のマルウェアクラスタ―を使用しており、開発・攻撃を行う為のリソースが豊富で人材育成トレーニングも行っていると考えられている。

　感染手法については、悪意のあるワード文書を使用する方法と、トロイの木馬化したアプリケーションを用いる方法の2つの特徴的な手法を確認している。

・BlueNoroff
　BlueNoroffはAPT38とも呼ばれ、バングラデシュ中央銀行強盗や複数の暗号資産の窃取などの首謀者とみられ、金銭的な動機に基づいて活動している。

　BlueNoroffは、高度なソーシャルエンジニアリング手法を用いる特徴があり、暗号資産関連ビジネスを継続的に攻撃したSnatchCryptoキャンペーンでは、LinkedInやTelegramなどを使って標的の企業、従業員を入念に調査し、標的と直接連絡を取り、友好な関係を築こうとしていた。