あなたの組織はラザロ攻撃から安全ですか？

ラザロ・グループの起源

Lazarusグループは2009年頃から活動しており、最初の大規模な作戦は「Operation Troy」として知られている。彼らは、2014年のソニー・ピクチャーズのハッキング、2016年のバングラデシュ銀行強盗、2017年のWannaCryランサムウェア攻撃など、いくつかの有名なサイバー攻撃に関与している。

多くの国家支援グループとは異なり、ラザルスは非常に金銭的動機が強く、北朝鮮の経済を支えるために銀行強盗や暗号通貨の窃盗を行っている。

MITREによると、北朝鮮の脅威グループの定義はしばしば大きく重複している。セキュリティ研究者の中には、アンダリエル、APT37、APT38、キムスキーのような特定のクラスターやサブグループを区別するのではなく、北朝鮮の国家が支援するすべてのサイバー活動をラザロ・グループの名前で分類している者もいます。

このグループはソニーのハッキングに「Guardians of Peace（平和の守護者）」という名前を使ったが、「Hidden Cobra（米国土安全保障省とFBIによる）」、「ZINC」、「NICKEL ACADEMY」、「Diamond Sleet（マイクロソフトによる）」、「Labyrinth Chollima（クラウドストライクによる）」といった別の名前でも知られている。

^{タイムラインのソース}^{トレンドマイクロ}

ターゲット

ラザロのターゲット

ラザロの対象国

同グループの活動は世界規模で追跡されており、米国、韓国、インド、バングラデシュ、さらに広範なアジア太平洋地域での活動が確認されている。また、ヨーロッパや中東の企業も標的にしている。ラザルスは、北朝鮮との経済制裁や外交紛争に関わる国々を標的にしていることで知られている。

ラザロ・グループの対象産業

ラザロ・グループは、政府機関、金融機関、防衛請負業者、暗号通貨取引所、メディア企業など、多様な標的プロフィールを示している。彼らの動機は政治スパイから金融窃盗まで様々で、北朝鮮政権に資金を提供したり、機密情報を入手できる分野に焦点を当てている。

ラザロ・グループの対象産業

ラザロ・グループは、政府機関、金融機関、防衛請負業者、暗号通貨取引所、メディア企業など、多様な標的プロフィールを示している。彼らの動機は政治スパイから金融窃盗まで様々で、北朝鮮政権に資金を提供したり、機密情報を入手できる分野に焦点を当てている。

ラザロの犠牲者

著名な被害者には、ソニー・ピクチャーズ（2014年）、バングラデシュ銀行（2016年）、様々な暗号通貨取引所が含まれる。金融分野での彼らの活動は、特に破壊的なmalware と強盗の使用を通じて、何百万もの損害を引き起こしている。また、韓国の機関に対するサイバースパイ活動も行っている。

攻撃方法

ラザロ・グループの攻撃手法

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Lazarus は初回アクセスを獲得するために頻繁にスピアフィッシングキャンペーンを使用し、多くの場合、カスタムマルウェアを配信する悪意のある添付ファイルやリンクを使用します。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

アクセス権を獲得した後、ルートキットやカスタムマルウェアなどのツールを展開し、特権を昇格させてネットワークに深く侵入する。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

このグループは、セキュリティソフトの無効化、盗まれた証明書の活用、ゼロデイ脆弱性の悪用などのテクニックを使ってセキュリティ対策を回避することに長けている。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Lazarusは、キーロガー、クレデンシャル・ダンピング・ツール、およびエクスプロイトを使用してユーザー・クレデンシャルを収集し、多くの場合、高い権限を持つアカウントを標的にします。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

システム内部に侵入すると、内蔵コマンドやPowerShellのようなツールを使ってネットワーク偵察を行い、重要なシステムやデータ保管場所を特定する。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

Lazarusは、有効な認証情報、リモートデスクトッププロトコル（RDP）、またはシステム間の信頼関係を悪用して、ネットワークを横切って移動します。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

機密データは、ファイル共有サービスや、金融データ、暗号通貨ウォレット、機密文書などをターゲットにしたカスタム流出機能を備えたマルウェアのようなツールを通じて収集されることが多い。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

このグループは、ManuscryptやDestoverなどのカスタムバックドアを使用して、リモートでコマンドを実行し、永続性を維持している。

一連のファイルが秘密のチャネルを通じてコンピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

盗まれたデータは、侵害されたウェブサーバー、FTPサーバー、または暗号化された通信チャネルを使用して流出し、情報がコマンド・アンド・コントロール・インフラストラクチャに到達するようにする。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

金融業務において、Lazarus は窃盗後にシステムを混乱させ、ワイパーマルウェアを使用して痕跡を隠蔽することがよくあります。彼らはランサムウェアキャンペーンやデータ破壊にも関与しており、被害者への影響をさらに拡大しています。

初期アクセス

Lazarus は初回アクセスを獲得するために頻繁にスピアフィッシングキャンペーンを使用し、多くの場合、カスタムマルウェアを配信する悪意のある添付ファイルやリンクを使用します。

特権エスカレーション

アクセス権を獲得した後、ルートキットやカスタムマルウェアなどのツールを展開し、特権を昇格させてネットワークに深く侵入する。

防御回避

このグループは、セキュリティソフトの無効化、盗まれた証明書の活用、ゼロデイ脆弱性の悪用などのテクニックを使ってセキュリティ対策を回避することに長けている。

クレデンシャル・アクセス

Lazarusは、キーロガー、クレデンシャル・ダンピング・ツール、およびエクスプロイトを使用してユーザー・クレデンシャルを収集し、多くの場合、高い権限を持つアカウントを標的にします。

ディスカバリー

システム内部に侵入すると、内蔵コマンドやPowerShellのようなツールを使ってネットワーク偵察を行い、重要なシステムやデータ保管場所を特定する。

横の動き

Lazarusは、有効な認証情報、リモートデスクトッププロトコル（RDP）、またはシステム間の信頼関係を悪用して、ネットワークを横切って移動します。

コレクション

機密データは、ファイル共有サービスや、金融データ、暗号通貨ウォレット、機密文書などをターゲットにしたカスタム流出機能を備えたマルウェアのようなツールを通じて収集されることが多い。

実行

このグループは、ManuscryptやDestoverなどのカスタムバックドアを使用して、リモートでコマンドを実行し、永続性を維持している。

データ流出

盗まれたデータは、侵害されたウェブサーバー、FTPサーバー、または暗号化された通信チャネルを使用して流出し、情報がコマンド・アンド・コントロール・インフラストラクチャに到達するようにする。

インパクト

金融業務において、Lazarus は窃盗後にシステムを混乱させ、ワイパーマルウェアを使用して痕跡を隠蔽することがよくあります。彼らはランサムウェアキャンペーンやデータ破壊にも関与しており、被害者への影響をさらに拡大しています。

MITRE ATT&CK マッピング

TA0001: Initial Access

No items found.

TA0002: Execution

No items found.

TA0003: Persistence

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1218

System Binary Proxy Execution

T1562

Impair Defenses

TA0006: Credential Access

T1003

OS Credential Dumping

TA0007: Discovery

No items found.

TA0008: Lateral Movement

No items found.

TA0009: Collection

No items found.

TA0011: Command and Control

T1105

Ingress Tool Transfer

TA0010: Exfiltration

No items found.

TA0040: Impact

T1490

Inhibit System Recovery

プラットフォーム検出

Vectra AIを使った検知 Lazarusの方法

よくあるご質問(FAQ)

ラザロ・グループは何で知られていますか？

ラザロ・グループは、2014年のソニー・ピクチャーズ攻撃や2016年のバングラデシュ銀行強盗など、サイバースパイ活動や大規模な金融窃盗で知られている。

ラザロ・グループの原動力は何ですか？

彼らの活動は、政治的報復、スパイ活動、不正活動による財源確保など、北朝鮮の国家的利益によって推進されている。

Lazarusはどのようにしてターゲットシステムに最初にアクセスするのですか？

彼らは、悪意のある添付ファイルやリンクを使用したスピアフィッシングキャンペーンを頻繁に使用し、マルウェアを配信します。

ラザルスがよくターゲットにする分野は？

Lazarusは金融機関、暗号通貨取引所、メディア企業、政府機関をターゲットにしている。

ラザロ・グループ対策にはどのようなマルウェアツールがありますか？

これらは、Manuscrypt、Destover、さまざまなカスタムバックドアやワイパーなどのツールと関連している。

検知ラザロ・グループが難しいのはなぜですか？

Lazarusは、セキュリティソフトウェアを無効にしたり、マルウェアを難読化したり、暗号化された通信チャネルを使用するなど、高度な防御回避テクニックを使用する。

ラザロは金融犯罪においてどのような役割を果たしているのか？

このグループは、銀行や暗号通貨プラットフォームから金を盗んだり、被害者を恐喝するためにランサムウェアや破壊的な攻撃を行っている。

検知ラザロ・グループの活動はどのように展開されるのですか？

組織は、異常なアプリケーション層プロトコル、有効なアカウントの不審な使用、異常なクレデンシャル・アクセス・アクティビティなど、既知の TTP を監視すべきである。

ラザロ・グループへの対抗策は？

多要素認証（MFA）、強力なネットワーク・セグメンテーション、脆弱性へのタイムリーなパッチ適用、高度な脅威検知ツールの導入により、攻撃を軽減することができる。

ラザロ・グループはランサムウェア攻撃に関与したことがありますか？

そう、彼らは金銭的利益を最大化し、被害者の業務を妨害するために、キャンペーンの一部にランサムウェアを導入している。

あなたの組織はラザロ攻撃から安全ですか？

攻撃の危険性を評価する

Lazarus Group

ラザロ・グループの起源