北朝鮮グループ「Lazarus」が悪用する10種類のツール

JPCERTコーディネーションセンターは、北朝鮮が関与し、「Hidden Cobra」などとしても知られる攻撃グループ「Lazarus」が攻撃に用いたソフトウェアの情報を取りまとめ、公開した。

標的型攻撃では、マルウェアを用いるだけでなく、正規ツールや一般的に出回っているソフトウェアなども悪用することがわかっているが、同センターでは同グループが内部ネットワークの調査や感染活動などに用いるソフトウェアの情報を公開した。

いわゆるラテラルムーブメントに利用するツールとしては、「Active Directory」から情報を収集する「AdFind」をはじめ、ネットワーク内のSMB共有のリストを取得する「SMBMap」、また「LLMNR」「NBT-NS」「MDNS」のレスポンダーである「Responder-Windows」がクライアントの誘導に悪用されていた。

また情報の窃取でも3種類の一般的なツールを悪用。具体的には、クライアント端末内のメーラーやブラウザからパスワード情報を抽出する「XenArmor Email Password Recovery Pro」「XenArmor Browser Password Recovery Pro」や、圧縮ソフト「WinRAR」などが利用されている。

そのほかバックドアとしてVNCクライアントの「TightVNC Viewer」を悪用。メモリダンプを取得する正規ツール「ProcDump」や、広く利用されているパケットキャプチャツール「tcpdump」、ダウンローダーである「wget」なども利用していた。

これらツールは「Lazarus」以外の攻撃グループが悪用する可能性もあり、同センターでは、提供元のURLとともにハッシュ値などの情報を取りまとめた。ただし、いずれもマルウェアではなく、正規の目的で利用されるケースもあるとして、取り扱いに注意するよう求めている。

（Security NEXT - 2021/01/19 ） ツイート

PR

関連記事

漁協直売店で「Emotet」感染 - 通販サイトのメールが流出
「かながわ旅割」に参加する旅行業者宛のメールで誤送信 - 神奈川県
申請書ファイルに個人情報、変換元ファイルをサイトに誤掲載 - 加須市
「電力需給ひっ迫注意報」に便乗するフィッシング攻撃が発生
フィッシングサイトの多いブランド、「au」がグローバルで6位に
QNAP製NAS狙うランサムウェアの被害が拡大傾向 - 利用者は注意を
カスペルスキーのVPN製品に権限昇格の脆弱性
QNAP、NASのファームウェア更新を呼びかけ - あらたなランサム攻撃を調査中
夏季休暇に向けてセキュリティの再確認を - 盆休み直前の月例パッチにも注意
複数自治体が利用する自治体情報セキュリティクラウドで一時障害