攻撃グループ「Lazarus」のマルウェア情報を公開 - JPCERT/CC
JPCERTコーディネーションセンターは、攻撃グループ「Lazarus」が用いるマルウェアの情報を公開し、注意を呼びかけている。
「Lazarus」は、北朝鮮が関与し、別名「Hidden Cobra」としても知られる攻撃グループ。JPCERT/CCでは、同グループが攻撃の過程で用いる一般的なソフトウェアに関する情報を先日公開したが、続いて同グループが用いたマルウェア「Torisma」「LCPDot」についても解説した。
「Torisma」は、外部よりWordファイルなどを通じて感染するマルウェア。ライブラリファイルとして実行され、外部コマンド&コントロールサーバと通信し、追加モジュールをダウンロード。実行後は感染情報の送信や特定ファイルの実行などを試みる。「LCPDot」も同じく外部よりモジュールをダウンロードして実行するマルウェアで、難読化されているケースもあるという。
同センターでは「Torisma」や「LCPDot」のハッシュ値や通信先、通信時の挙動などを公開。組織内から関連する通信など行なわれていないか確認するよう呼びかけた。今後もあらたなマルウェアを発見した場合は情報を拡充していく予定。
(Security NEXT - 2021/02/03 )
ツイート
PR
関連記事
2月修正のWindows脆弱性、北朝鮮グループがゼロデイ攻撃に悪用
攻撃キャンペーン「Dangerous Password」の最新手口を分析
引き続き北朝鮮の標的となる暗号資産 - 個人法人で対策必須
2021年度下半期、標的型攻撃対応で62件の緊急レスキュー実施
米政府、北朝鮮関連グループの攻撃に注意喚起 - 標的は暗号通貨やNFT関連
CODE BLUE 2021の講演者を発表 - 「ProxyLogon」発見者も登壇
偽取引アプリなどで暗号資産を窃取 - 北朝鮮関与か
北朝鮮グループ「Lazarus」が悪用する10種類のツール
「Lazarus」が新コロ研究情報を物色 - 政府や製薬企業に攻撃
「ランサムDDoS」を国内で観測 - 支払有無で結果変わらず