Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

攻撃グループ「Lazarus」の「WannaCrypt」関与であらたな証拠 - 関連ツールが共通のC2サーバを利用

ランサムウェア「WannaCrypt」の感染活動に、攻撃グループ「Lazarus」の関与が疑われている問題で、米Symantecは、攻撃インフラなどが共通であるなど、あらたな証拠を示した。初期の感染活動では「Mimikatz」の亜種なども利用されたという。

20170523_sy_001.jpg
攻撃に用いられたマルウェアが利用していたIPアドレス(表:シマンテック)

「Lazarus」は、Sony Pictures Entertainmentに対するサイバー攻撃や、バングラデシュの中央銀行より金銭を取得したことに関与したとされる攻撃グループ。同グループは、北朝鮮との関係が指摘されている。

Symantecでは、これまでも「Lazarus」による攻撃の可能性を示す根拠として、同グループのツールと初期の「WannaCrypt」が出現したタイミングや、感染端末におけるツールの検知、既知の攻撃ツールと共通のコードが含まれている点などを挙げてきたが、より詳しい情報を公開したもの。

2月から4月にかけて展開された「WannaCrypt」の感染端末に対する調査から、感染活動で利用されたと見られるツールや手法、インフラ面における多くの共通点を発見したとし、断定には至っていないものの、これら状況証拠により両者が関係することは濃厚であるとしている。

(Security NEXT - 2017/05/23 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「WannaCrypt」騒ぎから1年経過するも国内端末の1割に感染リスク
2018年1Qはコインマイナーが2.2倍、ランサムは315分の1に
「WannaCrypt」騒ぎから約1年、GWに向けてセキュリティ対策の確認を
データ漏洩7割がクラウド設定ミスに起因、ランサム被害は80億ドル超 - IBM調査
2017年の国内検出ランサムウェア、6割が「WannaCrypt」 - 多様化の進むランサム攻撃
「WannaCry」ではない「Eternalblue」「Doublepulsar」攻撃が増加 - 「MS17-010」適用の再確認を
2017年4Qの不正プログラム検出数は82万件 - 「CoinMiner」の報告も
なくならない「WannaCrypt」の検出 - 国内で少なくとも1900台が脆弱性を放置か
米政府、「WannaCrypt」の攻撃者を北朝鮮と断定 - 日本も同調
インシデントでCISOをクビにすることは悪手 - イスラエル国家サイバー局ディレクター