北朝鮮グループ「Lazarus」が悪用する10種類のツール
JPCERTコーディネーションセンターは、北朝鮮が関与し、「Hidden Cobra」などとしても知られる攻撃グループ「Lazarus」が攻撃に用いたソフトウェアの情報を取りまとめ、公開した。
標的型攻撃では、マルウェアを用いるだけでなく、正規ツールや一般的に出回っているソフトウェアなども悪用することがわかっているが、同センターでは同グループが内部ネットワークの調査や感染活動などに用いるソフトウェアの情報を公開した。
いわゆるラテラルムーブメントに利用するツールとしては、「Active Directory」から情報を収集する「AdFind」をはじめ、ネットワーク内のSMB共有のリストを取得する「SMBMap」、また「LLMNR」「NBT-NS」「MDNS」のレスポンダーである「Responder-Windows」がクライアントの誘導に悪用されていた。
また情報の窃取でも3種類の一般的なツールを悪用。具体的には、クライアント端末内のメーラーやブラウザからパスワード情報を抽出する「XenArmor Email Password Recovery Pro」「XenArmor Browser Password Recovery Pro」や、圧縮ソフト「WinRAR」などが利用されている。
そのほかバックドアとしてVNCクライアントの「TightVNC Viewer」を悪用。メモリダンプを取得する正規ツール「ProcDump」や、広く利用されているパケットキャプチャツール「tcpdump」、ダウンローダーである「wget」なども利用していた。
これらツールは「Lazarus」以外の攻撃グループが悪用する可能性もあり、同センターでは、提供元のURLとともにハッシュ値などの情報を取りまとめた。ただし、いずれもマルウェアではなく、正規の目的で利用されるケースもあるとして、取り扱いに注意するよう求めている。
(Security NEXT - 2021/01/19 )
ツイート
PR
関連記事
「Erlang/OTP」脆弱性、一部Cisco製品で影響が判明
スポーツグッズ通販サイトで個人情報流出か - 不正プログラムや改ざんを確認
ランサム攻撃で暗号化被害、公共工事のデータも - 松永建設
「ActiveMQ NMS OpenWire Client」にRCE脆弱性 - 修正版が公開
「GitHub Enterprise Server」に複数脆弱性 - アップデートで修正
NVIDIA製GPUドライバに複数の脆弱性 - 権限昇格やDoSのおそれ
メール誤送信で事業所担当者のメアド流出 - やまがた産業支援機構
配布調査書に個人情報、作成元資料のデータが残存 - 都立高
トレンドの法人向け複数製品に脆弱性 - アップデートで修正
患者の個人情報含む書類を院内チラシラックに - 近畿大病院
