ラザロ・グループの起源
Lazarusグループは2009年頃から活動しており、最初の大規模な作戦は「Operation Troy」として知られている。 彼らは、2014年のソニー・ピクチャーズのハッキング、2016年のバングラデシュ銀行強盗、2017年のWannaCryランサムウェア攻撃など、いくつかの有名なサイバー攻撃に関与している。
多くの国家支援グループとは異なり、ラザルスは非常に金銭的動機が強く、北朝鮮の経済を支えるために銀行強盗や暗号通貨の窃盗を行っている。
MITREによると、北朝鮮の脅威グループの定義はしばしば大きく重複している。セキュリティ研究者の中には、アンダリエル、APT37、APT38、キムスキーのような特定のクラスターやサブグループを区別するのではなく、北朝鮮の国家が支援するすべてのサイバー活動をラザロ・グループの名前で分類している者もいます。
このグループはソニーのハッキングに「Guardians of Peace(平和の守護者)」という名前を使ったが、「Hidden Cobra(米国土安全保障省とFBIによる)」、「ZINC」、「NICKEL ACADEMY」、「Diamond Sleet(Microsoftによる)」、「Labyrinth Chollima(CrowdStrikeによる)」といった別の名前でも知られている。
ラザロの対象国
同グループの活動は世界規模で追跡されており、米国、韓国、インド、バングラデシュ、さらに広範なアジア太平洋地域での活動が確認されている。また、ヨーロッパや中東の企業も標的にしている。ラザルスは、北朝鮮との経済制裁や外交紛争に関わる国々を標的にしていることで知られている。
ラザロ・グループの対象産業
ラザロ・グループは、政府機関、金融機関、防衛請負業者、暗号通貨取引所、メディア企業など、多様な標的プロフィールを示している。彼らの動機は政治スパイから金融窃盗まで様々で、北朝鮮政権に資金を提供したり、機密情報を入手できる分野に焦点を当てている。
ラザロの犠牲者
著名な被害者には、ソニー・ピクチャーズ(2014年)、バングラデシュ銀行(2016年)、様々な暗号通貨取引所が含まれる。金融分野での彼らの活動は、特に破壊的なmalware と強盗の使用を通じて、何百万もの損害を引き起こしている。また、韓国の機関に対するサイバースパイ活動も行っている。
ラザロ・グループの攻撃手法
Lazarus は初回アクセスを獲得するために頻繁にスピアフィッシングキャンペーンを使用し、多くの場合、カスタムマルウェアを配信する悪意のある添付ファイルやリンクを使用します。
アクセス権を獲得した後、ルートキットやカスタムマルウェアなどのツールを展開し、特権を昇格させてネットワークに深く侵入する。
このグループは、セキュリティソフトを無効にしたり、盗まれた証明書を活用したり、zero-day の脆弱性を悪用したりといったテクニックを使って、セキュリティ対策を回避することに長けている。
Lazarusは、キーロガー、クレデンシャル・ダンピング・ツール、およびエクスプロイトを使用してユーザー・クレデンシャルを収集し、多くの場合、高い権限を持つアカウントを標的にします。
システム内部に侵入すると、内蔵コマンドやPowerShellのようなツールを使ってネットワーク偵察を行い、重要なシステムやデータ保管場所を特定する。
Lazarusは、有効な認証情報、リモートデスクトッププロトコル(RDP)、またはシステム間の信頼関係を悪用して、ネットワークを横切って移動します。
機密データは、ファイル共有サービスや、金融データ、暗号通貨ウォレット、機密文書などをターゲットにしたカスタム流出機能を備えたマルウェアのようなツールを通じて収集されることが多い。
このグループは、ManuscryptやDestoverなどのカスタムバックドアを使用して、リモートでコマンドを実行し、永続性を維持している。
盗まれたデータは、侵害されたウェブサーバー、FTPサーバー、または暗号化された通信チャネルを使用して流出し、情報がコマンド・アンド・コントロール・インフラストラクチャに到達するようにする。
金融業務において、Lazarus は窃盗後にシステムを混乱させ、ワイパーマルウェアを使用して痕跡を隠蔽することがよくあります。彼らはランサムウェアキャンペーンやデータ破壊にも関与しており、被害者への影響をさらに拡大しています。
Lazarus は初回アクセスを獲得するために頻繁にスピアフィッシングキャンペーンを使用し、多くの場合、カスタムマルウェアを配信する悪意のある添付ファイルやリンクを使用します。
アクセス権を獲得した後、ルートキットやカスタムマルウェアなどのツールを展開し、特権を昇格させてネットワークに深く侵入する。
このグループは、セキュリティソフトを無効にしたり、盗まれた証明書を活用したり、zero-day の脆弱性を悪用したりといったテクニックを使って、セキュリティ対策を回避することに長けている。
Lazarusは、キーロガー、クレデンシャル・ダンピング・ツール、およびエクスプロイトを使用してユーザー・クレデンシャルを収集し、多くの場合、高い権限を持つアカウントを標的にします。
システム内部に侵入すると、内蔵コマンドやPowerShellのようなツールを使ってネットワーク偵察を行い、重要なシステムやデータ保管場所を特定する。
Lazarusは、有効な認証情報、リモートデスクトッププロトコル(RDP)、またはシステム間の信頼関係を悪用して、ネットワークを横切って移動します。
機密データは、ファイル共有サービスや、金融データ、暗号通貨ウォレット、機密文書などをターゲットにしたカスタム流出機能を備えたマルウェアのようなツールを通じて収集されることが多い。
このグループは、ManuscryptやDestoverなどのカスタムバックドアを使用して、リモートでコマンドを実行し、永続性を維持している。
盗まれたデータは、侵害されたウェブサーバー、FTPサーバー、または暗号化された通信チャネルを使用して流出し、情報がコマンド・アンド・コントロール・インフラストラクチャに到達するようにする。
金融業務において、Lazarus は窃盗後にシステムを混乱させ、ワイパーマルウェアを使用して痕跡を隠蔽することがよくあります。彼らはランサムウェアキャンペーンやデータ破壊にも関与しており、被害者への影響をさらに拡大しています。
Vectra AIを使った検知 Lazarusの方法
よくあるご質問(FAQ)
ラザロ・グループは何で知られていますか?
ラザロ・グループは、2014年のソニー・ピクチャーズ攻撃や2016年のバングラデシュ銀行強盗など、サイバースパイ活動や大規模な金融窃盗で知られている。
ラザロ・グループの原動力は何ですか?
彼らの活動は、政治的報復、スパイ活動、不正活動による財源確保など、北朝鮮の国家的利益によって推進されている。
Lazarusはどのようにしてターゲットシステムに最初にアクセスするのですか?
彼らは、悪意のある添付ファイルやリンクを使用したスピアフィッシングキャンペーンを頻繁に使用し、マルウェアを配信します。
ラザルスがよくターゲットにする分野は?
Lazarusは金融機関、暗号通貨取引所、メディア企業、政府機関をターゲットにしている。
ラザロ・グループ対策にはどのようなマルウェアツールがありますか?
これらは、Manuscrypt、Destover、さまざまなカスタムバックドアやワイパーなどのツールと関連している。
検知 ラザロ・グループが難しいのはなぜですか?
Lazarusは、セキュリティソフトウェアを無効にしたり、マルウェアを難読化したり、暗号化された通信チャネルを使用するなど、高度な防御回避テクニックを使用する。
ラザロは金融犯罪においてどのような役割を果たしているのか?
このグループは、銀行や暗号通貨プラットフォームから金を盗んだり、被害者を恐喝するためにランサムウェアや破壊的な攻撃を行っている。
検知 ラザロ・グループの活動はどのように展開されるのですか?
組織は、異常なアプリケーション層プロトコル、有効なアカウントの不審な使用、異常なクレデンシャル・アクセス・アクティビティなど、既知の TTP を監視すべきである。
ラザロ・グループへの対抗策は?
多要素認証(MFA)、強力なネットワーク・セグメンテーション、脆弱性へのタイムリーなパッチ適用、高度な脅威検知ツールの導入により、攻撃を軽減することができる。
ラザロ・グループはランサムウェア攻撃に関与したことがありますか?
そう、彼らは金銭的利益を最大化し、被害者の業務を妨害するために、キャンペーンの一部にランサムウェアを導入している。