攻撃グループ「Lazarus」の「WannaCrypt」関与であらたな証拠 - 関連ツールが共通のC2サーバを利用

ランサムウェア「WannaCrypt」の感染活動に、攻撃グループ「Lazarus」の関与が疑われている問題で、米Symantecは、攻撃インフラなどが共通であるなど、あらたな証拠を示した。初期の感染活動では「Mimikatz」の亜種なども利用されたという。

攻撃に用いられたマルウェアが利用していたIPアドレス（表：シマンテック）

「Lazarus」は、Sony Pictures Entertainmentに対するサイバー攻撃や、バングラデシュの中央銀行より金銭を取得したことに関与したとされる攻撃グループ。同グループは、北朝鮮との関係が指摘されている。

Symantecでは、これまでも「Lazarus」による攻撃の可能性を示す根拠として、同グループのツールと初期の「WannaCrypt」が出現したタイミングや、感染端末におけるツールの検知、既知の攻撃ツールと共通のコードが含まれている点などを挙げてきたが、より詳しい情報を公開したもの。

2月から4月にかけて展開された「WannaCrypt」の感染端末に対する調査から、感染活動で利用されたと見られるツールや手法、インフラ面における多くの共通点を発見したとし、断定には至っていないものの、これら状況証拠により両者が関係することは濃厚であるとしている。

（Security NEXT - 2017/05/23 ）ツイート