[調査・レポート]
医療研究/エネルギー産業を襲った大規模サイバー攻撃、攻撃元は北朝鮮Lazarus Groupと特定─ウィズセキュア調査
2023年2月3日(金)IT Leaders編集部
フィンランドのセキュリティベンダー、ウィズセキュア(WithSecure、2022年3月にF₋Secureから社名変更)は2023年2月2日(現地時間)、2022年第4四半期に同社のリサーチチームが実施したサイバー攻撃動向調査の概要を発表した。発表によると、最近観測された欧州、北米、南アジアの医療研究/エネルギー産業へのサイバー攻撃キャンペーンが、北朝鮮の国家サイバー攻撃グループ「Lazarus Group」によるものであるという。また、一連の攻撃キャンペーンはランサムウェアではなく、大規模な情報収集オペレーションの一部であるとしている。
諜報活動を目的としたサイバー攻撃キャンペーン
ウィズセキュアによると、WithSecure Elementsセキュリティプラットフォームで保護されている顧客企業の環境においてランサムウェアの疑いのある攻撃が検知され、これをきっかけに、同社のリサーチチームはLazarus Groupが展開した最新攻撃キャンペーンを観測したという。
Lazarus Groupは、北朝鮮の朝鮮人民軍偵察総局の一部と目されるAPT(Advanced Persistent Threat:持続性標的型攻撃)グループである。リサーチチームは2022年第4四半期にこれまでの攻撃キャンペーンで使われた攻撃手法、テクノロジー、戦術などを調査し、今回の攻撃キャンペーンはLazarus Groupによるものであると特定した。
リサーチチームは調査の過程で、今回の攻撃キャンペーンはランサムウェアではなく、大規模な情報収集オペレーションの一部であることを示す証拠を発見したという。過去の攻撃から進化したと考えられる部分について、一部を以下のように示している。
●これまでのサイバー攻撃とは異なり、ドメイン名を使用せずIPアドレスのみに依存するなど、新しいインフラが使用されている
●Lazarus GroupやKimsuky(北朝鮮が関与する別の攻撃グループ) が過去の攻撃で使用したインフォスティーラー型マルウェア(情報の窃取を狙うマルウェア)「Dtrack」の改良版が使用されている
●攻撃者がファイアウォールをバイパスしてRDP(Remote Desktop Protocol)x権限を持つ新しい管理者アカウントを作成可能なマルウェア「GREASE」の新バージョンが使用されている
リサーチチームが発見した注目すべき証拠の1つとして、北朝鮮に属する1000未満のIPアドレスの1つを攻撃者が短期間使用していたことを挙げている。このIPアドレスは、攻撃者が管理するWebシェルに短時間接続されたことが確認されており、リサーチチームは、Lazarus Groupのメンバーが手動で行ったミスと推測している。
リサーチチームは収集した証拠に基づき、今回の攻撃キャンペーンを「諜報活動を目的とし、官民の医療研究機関、エネルギー/リサーチ/防衛/医療の各分野で利用される技術の開発メーカー、主要大学のケミカルエンジニアリング関連研究室などをターゲットにしたもの」と結論づけた。
ウィズセキュア シニアスレットインテリジェンスリサーチャーのサミ・ルオホネン (Sami Ruohonen) 氏は、今回のLazarus Groupの攻撃キャンペーンについて次のように述べている。
「当初はBianLian ランサムウェア攻撃であるとの疑いを持っていたが、証拠を集めるにつれ、この攻撃キャンペーンは北朝鮮政府関連のサイバー攻撃グループによって実行されたと確信し、最終的にLazarus Groupによるものと確信するに至った」。
また、同社 シニアスレットインテリジェンスアナリストのスティーヴン・ロビンソン(Stephen Robinson )氏は「今回のように、攻撃キャンペーンと実行グループを強く結びつけることができるのは極めて異例」と述べている。
●Next:「日本企業も防御を緩めてはならない状況」と警告
会員登録(無料)が必要です
- 1
- 2
- 次へ >
