サイバー攻撃速報EV証明書を悪用する脅威者の手口

サイバー攻撃速報EV証明書を悪用する脅威者の手口

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
国家アクター

Lazarus Group

Lazarus Groupは、北朝鮮の国家が支援する高度持続的脅威(APT)グループである。

検知 ラザロが使用したTTP
貴社はラザロ攻撃に対して安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

ラザロ・グループの起源

Lazarusグループは2009年頃から活動しており、最初の大規模な作戦は「Operation Troy」として知られている。 彼らは、2014年のソニー・ピクチャーズのハッキング、2016年のバングラデシュ銀行強盗、2017年のWannaCryランサムウェア攻撃など、いくつかの有名なサイバー攻撃に関与している。

多くの国家支援グループとは異なり、ラザルスは非常に金銭的動機が強く、北朝鮮の経済を支えるために銀行強盗や暗号通貨の窃盗を行っている。

MITREによると、北朝鮮の脅威グループの定義はしばしば大きく重複している。セキュリティ研究者の中には、アンダリエル、APT37、APT38、キムスキーのような特定のクラスターやサブグループを区別するのではなく、北朝鮮の国家が支援するすべてのサイバー活動をラザロ・グループの名前で分類している者もいます。

このグループはソニーのハッキングに「Guardians of Peace(平和の守護者)」という名前を使ったが、「Hidden Cobra(米国土安全保障省とFBIによる)」、「ZINC」、「NICKEL ACADEMY」、「Diamond Sleet(Microsoftによる)」、「Labyrinth Chollima(CrowdStrikeによる)」といった別の名前でも知られている。

タイムラインのソース トレンドマイクロ

ラザロ・グループの起源
ターゲット

ラザロのターゲット

ラザロの対象国

同グループの活動は世界規模で追跡されており、米国、韓国、インド、バングラデシュ、さらに広範なアジア太平洋地域での活動が確認されている。また、ヨーロッパや中東の企業も標的にしている。ラザルスは、北朝鮮との経済制裁や外交紛争に関わる国々を標的にしていることで知られている。

ラザロ・グループの対象産業

ラザロ・グループは、政府機関、金融機関、防衛請負業者、暗号通貨取引所、メディア企業など、多様な標的プロフィールを示している。彼らの動機は政治スパイから金融窃盗まで様々で、北朝鮮政権に資金を提供したり、機密情報を入手できる分野に焦点を当てている。

ラザロ・グループの対象産業

ラザロ・グループは、政府機関、金融機関、防衛請負業者、暗号通貨取引所、メディア企業など、多様な標的プロフィールを示している。彼らの動機は政治スパイから金融窃盗まで様々で、北朝鮮政権に資金を提供したり、機密情報を入手できる分野に焦点を当てている。

ラザロの犠牲者

著名な被害者には、ソニー・ピクチャーズ(2014年)、バングラデシュ銀行(2016年)、様々な暗号通貨取引所が含まれる。金融分野での彼らの活動は、特に破壊的なmalware と強盗の使用を通じて、何百万もの損害を引き起こしている。また、韓国の機関に対するサイバースパイ活動も行っている。

攻撃方法

ラザロ・グループの攻撃手法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Lazarus は初回アクセスを獲得するために頻繁にスピアフィッシングキャンペーンを使用し、多くの場合、カスタムマルウェアを配信する悪意のある添付ファイルやリンクを使用します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

アクセス権を獲得した後、ルートキットやカスタムマルウェアなどのツールを展開し、特権を昇格させてネットワークに深く侵入する。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

このグループは、セキュリティソフトを無効にしたり、盗まれた証明書を活用したり、zero-day の脆弱性を悪用したりといったテクニックを使って、セキュリティ対策を回避することに長けている。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Lazarusは、キーロガー、クレデンシャル・ダンピング・ツール、およびエクスプロイトを使用してユーザー・クレデンシャルを収集し、多くの場合、高い権限を持つアカウントを標的にします。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

システム内部に侵入すると、内蔵コマンドやPowerShellのようなツールを使ってネットワーク偵察を行い、重要なシステムやデータ保管場所を特定する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

Lazarusは、有効な認証情報、リモートデスクトッププロトコル(RDP)、またはシステム間の信頼関係を悪用して、ネットワークを横切って移動します。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

機密データは、ファイル共有サービスや、金融データ、暗号通貨ウォレット、機密文書などをターゲットにしたカスタム流出機能を備えたマルウェアのようなツールを通じて収集されることが多い。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

このグループは、ManuscryptやDestoverなどのカスタムバックドアを使用して、リモートでコマンドを実行し、永続性を維持している。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

盗まれたデータは、侵害されたウェブサーバー、FTPサーバー、または暗号化された通信チャネルを使用して流出し、情報がコマンド・アンド・コントロール・インフラストラクチャに到達するようにする。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

金融業務において、Lazarus は窃盗後にシステムを混乱させ、ワイパーマルウェアを使用して痕跡を隠蔽することがよくあります。彼らはランサムウェアキャンペーンやデータ破壊にも関与しており、被害者への影響をさらに拡大しています。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

Lazarus は初回アクセスを獲得するために頻繁にスピアフィッシングキャンペーンを使用し、多くの場合、カスタムマルウェアを配信する悪意のある添付ファイルやリンクを使用します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

アクセス権を獲得した後、ルートキットやカスタムマルウェアなどのツールを展開し、特権を昇格させてネットワークに深く侵入する。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

このグループは、セキュリティソフトを無効にしたり、盗まれた証明書を活用したり、zero-day の脆弱性を悪用したりといったテクニックを使って、セキュリティ対策を回避することに長けている。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

Lazarusは、キーロガー、クレデンシャル・ダンピング・ツール、およびエクスプロイトを使用してユーザー・クレデンシャルを収集し、多くの場合、高い権限を持つアカウントを標的にします。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

システム内部に侵入すると、内蔵コマンドやPowerShellのようなツールを使ってネットワーク偵察を行い、重要なシステムやデータ保管場所を特定する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

Lazarusは、有効な認証情報、リモートデスクトッププロトコル(RDP)、またはシステム間の信頼関係を悪用して、ネットワークを横切って移動します。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

機密データは、ファイル共有サービスや、金融データ、暗号通貨ウォレット、機密文書などをターゲットにしたカスタム流出機能を備えたマルウェアのようなツールを通じて収集されることが多い。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

このグループは、ManuscryptやDestoverなどのカスタムバックドアを使用して、リモートでコマンドを実行し、永続性を維持している。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

盗まれたデータは、侵害されたウェブサーバー、FTPサーバー、または暗号化された通信チャネルを使用して流出し、情報がコマンド・アンド・コントロール・インフラストラクチャに到達するようにする。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

金融業務において、Lazarus は窃盗後にシステムを混乱させ、ワイパーマルウェアを使用して痕跡を隠蔽することがよくあります。彼らはランサムウェアキャンペーンやデータ破壊にも関与しており、被害者への影響をさらに拡大しています。

MITRE ATT&CK マッピング

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
プラットフォーム検出

Vectra AIを使った検知 Lazarusの方法

File Share Enumeration

Hidden HTTPS Tunnel

Privilege Anomaly: Unusual Account on Host

Suspicious Port Sweep

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

ラザロ・グループは何で知られていますか?

ラザロ・グループは、2014年のソニー・ピクチャーズ攻撃や2016年のバングラデシュ銀行強盗など、サイバースパイ活動や大規模な金融窃盗で知られている。

ラザロ・グループの原動力は何ですか?

彼らの活動は、政治的報復、スパイ活動、不正活動による財源確保など、北朝鮮の国家的利益によって推進されている。

Lazarusはどのようにしてターゲットシステムに最初にアクセスするのですか?

彼らは、悪意のある添付ファイルやリンクを使用したスピアフィッシングキャンペーンを頻繁に使用し、マルウェアを配信します。

ラザルスがよくターゲットにする分野は?

Lazarusは金融機関、暗号通貨取引所、メディア企業、政府機関をターゲットにしている。

ラザロ・グループ対策にはどのようなマルウェアツールがありますか?

これらは、Manuscrypt、Destover、さまざまなカスタムバックドアやワイパーなどのツールと関連している。

検知 ラザロ・グループが難しいのはなぜですか?

Lazarusは、セキュリティソフトウェアを無効にしたり、マルウェアを難読化したり、暗号化された通信チャネルを使用するなど、高度な防御回避テクニックを使用する。

ラザロは金融犯罪においてどのような役割を果たしているのか?

このグループは、銀行や暗号通貨プラットフォームから金を盗んだり、被害者を恐喝するためにランサムウェアや破壊的な攻撃を行っている。

検知 ラザロ・グループの活動はどのように展開されるのですか?

組織は、異常なアプリケーション層プロトコル、有効なアカウントの不審な使用、異常なクレデンシャル・アクセス・アクティビティなど、既知の TTP を監視すべきである。

ラザロ・グループへの対抗策は?

多要素認証(MFA)、強力なネットワーク・セグメンテーション、脆弱性へのタイムリーなパッチ適用、高度な脅威検知ツールの導入により、攻撃を軽減することができる。

ラザロ・グループはランサムウェア攻撃に関与したことがありますか?

そう、彼らは金銭的利益を最大化し、被害者の業務を妨害するために、キャンペーンの一部にランサムウェアを導入している。

貴社はラザロ攻撃に対して安全ですか?

攻撃の危険性を評価する