Lazarusグループの新マルウェアは検知が困難、サイバーセキュリティ企業が暗号企業に警告

画像引用先：Adobe/beebright

ESETのサイバーセキュリティ専門家たちは、Lazarusグループの新しいマルウェア「LightlessCan」による脅威に対して、企業に警告しています。これは、以前のバージョンよりも検出が難しいと言われています。

このマルウェアは主に雇用詐欺として配布されており、ユーザーが企業に関連する職務や文書に見せかけた、悪意のあるペイロードをインストールするよう誘導しています。

#ESET researchers unveiled their findings about an attack by the North Korea-linked #APT group #Lazarus that took aim at an aerospace company in Spain.

▶️ Find out more in a #WeekinSecurity video with @TonyAtESET. pic.twitter.com/M94J200VQx

— ESET (@ESET) September 29, 2023

9月29日の最近のブログ投稿で、Lazarusグループは新しいマルウェアの作動方法、ネットワークシステムへのダメージ、サイバー間諜活動につながる異なる実行チェーンなどを強調しました。

同社は、スポーツベッティングプラットフォームStake.comから4,000万ドル以上が消えた事件をはじめとする、数百万ドル規模のいくつかの暗号ハックと関連しています。

また、このグループはBitthumbやNicehashの事件とも関連しており、これらの事件では数百万ドルが盗まれました。加えて、AstraZeneca、Sony、WannaCryなどの伝統的な企業へのハッキングも行っています。

この脅威はどのように機能するのか

サイバーセキュリティの専門家たちは、ハッカーが被害者のネットワークにペイロードを配信する方法を説明しました。これは、以前のバージョンよりもはるかに洗練された進歩であり、リモートアクセストロイの木馬を利用しています。

“LightlessCanは、幅広いWindowsネイティブコマンドの機能を模倣。ノイズの多いコンソールでの実行ではなく、RAT自体の中で目立たないように実行することを可能にします。この戦略的転換によりステルス性が強化され、攻撃者の活動の検出と分析がより困難になるでしょう。”

LightlessCanはまた、実行中にペイロードの保護メカニズムとして機能するガードレールを使用し、「セキュリティ研究者のような、意図しないマシン上での不正な復号化を効果的に防止する」と彼らは付け加えました。

レポートによると、ソーシャルメディアにおける採用プロセスを通じて最初のアクセスを獲得した後、アマゾン事件のような以前のキャンペーンで使用した256ビットのキーでAES-128とRC6という複数の暗号化を使用しているとのこと。

最終段階でのRAT配備は、システムにペイロードを組み込んだドロッパーやローダーと連動します。

“このキャンペーンで使用された最も興味深いペイロードは、BlindingCanと名付けられたグループの主力HTTP(S) Lazarus RATの後継である、LightlessCanです。LightlessCanは新しい複雑なRATで、カスタム関数テーブルでインデックス化された最大68の異なるコマンドをサポートしていますが、現在のバージョン1.0では、これらのコマンドのうち43のみが何らかの機能を実装しています。”

最後にセキュリティチームは、デジタルの安全を実現するために、関連する詐欺の発生を大幅に減らすよう、認識を新たにするよう呼びかけました。

スペインの航空宇宙企業をケーススタディに

スペインの航空宇宙企業で、Lazarusグループによる新しいLightlessCanモデルを利用したハッキングが発覚しました。

悪質業者は昨年、同社のリクルーターを装った一連の標的型キャンペーンを行った後、同社のネットワークにアクセス。

その後、彼らはLinkedinを通じて被害者に接触し、採用戦略の一環として2つのコーディングタスクを送信ました。最初のタスクは 「Hello, World!」の基本的な表示で、2つ目はフィボナッチ数列の出力だったといいます。