Researchers Uncover Lazarus Group Admin Layer for C2 Servers
2025/01/30 DarkReading — 世界中の暗号通貨企業やソフトウェア開発者に対する、最近の北朝鮮の Lazarus グループによる攻撃の調査により、攻撃者が一連のキャンペーンの Command and Control (C2) インフラを集中管理するために使用していた、隠されたマネージメント・レイヤーの存在が明らかになった。
SecurityScorecard の研究者たちによる調査で明らかになったのは、新たに発見されたインフラを使用する Lazarus が、侵害したシステムをダイレクトに監視し、それらのシステムへのペイロード配信を制御し、盗み出したデータを効率的に管理していることだ。重要なことは、IT ワーカーへの成りすましなどのキャンペーンにおいても、この攻撃者が同じ Web ベースの管理プラットフォームを使用していることだ。
精巧な運用セキュリティ
この攻撃者は帰属を不明にするために、精巧なセキュリティ対策を実装/運用しているが、SecurityScorecard による発見により、それらのキャンペーンとインフラを高い確度で北朝鮮に結び付けることができたようだ。
今週のレポートで SecurityScorecard は、「この分析により、世界中の暗号通貨業界と開発者を標的としたグローバルな作戦を、Lazarus が展開していたことが明らかになった。 このキャンペーンの結果として、数百人の被害者がペイロードをダウンロード/実行し、その裏では、盗み出されたデータが平壌に送り返されていた」と述べている。
世界中の暗号通貨業界と開発者を狙う、最近の悪質なキャンペーン “Operation 99” を追跡する調査の中で、SecurityScorecard が発見した Phantom Circuit は、Lazarus グループの管理レイヤーの名前である。このキャンペーンでは、LinkedIn などのオンライン求人フォーラムで、リクルーターを装う脅威グループのメンバーが、偽のプロジェクト・テストやコード・レビューへと、ソフトウェア開発者たちを参加させている。
この詐欺に引き寄せられる被害者たちは、無害に見える悪意のオープンソース GitHub リポジトリを複製するよう指示される。それらの複製されたリポジトリは、Lazarus グループの C2 インフラに接続するものであり、被害者の環境へとマルウェアを流し込むものでもある。
このキャンペーンの一環として、Lazarus グループの攻撃者は、認証アプリや暗号通貨関連の正規のソフトウェア製品に、難読化されたバックドアを挿入し、開発者の環境で実行させようとする。この、北朝鮮による最新のキャンペーンにおいて、悪意のペイロードをダウンロードした被害者は 230 人以上いると、SecurityScorecard は推定している。
2つの動機
SecurityScorecard の Senior VP of Threat Intelligence である Ryan Sherstobitoff は、「脅威アクターの動機は2つある。暗号通貨の窃取と、企業ネットワークへの侵入である。多くのケースにおいて、Lazarus グループの罠に掛かった開発者は、会社のデバイスや職場環境でクローン・コードを実行することになる。それらのペイロードは、開発の秘密を盗み出すように設計されている」と述べている。
Operation 99 で盗んだ情報を、Lazarus の攻撃者が管理する手法を追跡する際に、SecurityScorecard は Phantom Circuit の管理レイヤーを発見した。この発見で判明したのは、高度な Astrill VPN とプロキシのネットワークを使用する Operation 99 の C2 インフラの中に、Lazarus が隠し持っていた方法である。56 か国の 142 都市に VPN サーバを持つ Astrill は、匿名での Web ブラウジングをユーザーに提供するものであり、検閲が厳しい国々でのインターネット制限の回避で知られている。
SecurityScorecard の研究者たちは、Astrill VPN を使用する Lazarus のメンバーが、ロシアのハサンにある貨物会社に登録された、中間プロキシ・ネットワークに接続していることを発見した。その後に研究者たちは、プロキシ・ネットワークを使用して Operation 99 の C2 インフラに接続しながら、その痕跡を隠そうと試行した。その C2 サーバ自体は、おそらく架空の企業である “Stark Industries, LLC” に登録された、インフラでホストされていたという。
今週のレポートで SecurityScorecard は、「この C2 接続に使用された IP は単なるリレー/プロキシであり、真の発信元を不明瞭にするために使用されたと、高い確信を持って評価できる。このプロキシを使用して VPN に接続した攻撃者は、その後にセカンダリ・セッションを確立し、実際に接続した真の発信元を不明瞭にしていた。この調査の結果として、Operation 99 の C2 ネットワークで Astrill VPN 接続を開始するために、脅威アクターが使用した平壌の6件の IP アドレスを特定できた」と述べている。
Ryan Sherstobitoff は、「Phantom Circuit は、平壌にダイレクトにつながる舞台裏の運用ネットワークである。また Lazarus は、別のキャンペーンでも、このプロキシ・ネットワークを使用していた。そのキャンペーンでは、メンバーが盗んだ ID を悪用する脅威アクターが IT ワーカーになりすまし、侵入を意図する組織での仕事を確保しようとした」と付け加えている。
年々巧妙化している Lazarus グループの活動ですが、近年は世界中の暗号通貨業界と開発者を標的としたグローバルな作戦を展開しているとのことです。2023/10/06には、「北朝鮮の Lazarus Group:$900 M の暗号資産を盗んでロンダリング」といった記事があります。よろしければ、Lazarus で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.