攻撃グループ「Lazarus」の「WannaCrypt」関与であらたな証拠 - 関連ツールが共通のC2サーバを利用

一方同社は、3月後半から4月にかけて展開された攻撃においても、「WannaCrypt」の感染端末から再び「Lazarus」との関係性を示すプログラムが検出されたと指摘。

同時期における「WannaCrypt」の感染には、バックドアである「Alphanc」「Bravonc」が利用されたと見られるが、「Alphanc」では、Sonyに対する攻撃で利用され、「Lazarus」と関係があるとされる「Duuzer」と共通のコードを利用。「Duuzer」は、「Volgmer」の活動にも関与していたという。

くわえて同社は、「Bravonc」において、コードの難読化に「WannaCry」やLazarusと関連する「Fakepude」との共通点を発見したとしている。

感染手法も、2月と同様に「Mimikatz」の亜種を作成してパスワードを取得。ネットワークスキャナによってネットワーク内部のDNS情報を得るなど断続的に諜報活動を繰り返し、ローカルネットワークの調査を行ったあと、「WannaCrypt」を展開していた。

（Security NEXT - 2017/05/23 ） ツイート

PR

関連記事

Samsung製スマホなどの既知脆弱性が攻撃の標的に - 米政府が注意喚起
2019年上半期の攻撃、前期の3倍以上に - F-Secureまとめ
2019年2Qのランサム新亜種1.6万件 - 前年同期から倍増
8月半ばからTCP 445番ポート宛てのパケットが増加 - 8割の送信元がWS 2003
重要インフラの3社に1社でランサム被害 - 11％は感染20台以上
不正送金マルウェア「Ursnif」の検出が急増 - コインマイナーは大幅減
「情報セキュリティ白書2018」が発売 - PDF版はアンケート回答で無料
6月のマルウェア検出、3割弱減 - 「MS17-010」悪用が増加
2017年の新種ランサムウェア、前年比62％増 - 「WannaCrypt」検出、日本は2位
2018年1Q、仮想通貨発掘マルウェアが急増 - ランサム攻撃は大幅減