原文のブログはこちらからご覧いただけます。
証拠によると、北朝鮮の支援を受けるハッキング集団であるラザルスは、2022 年の 2 月から 7 月にかけて無名のエネルギー企業を標的としていました。リサーチが示すところでは、ラザルスは Log4Shell として知られる Log4j の脆弱性を利用して、インターネットに公開されている VMware Horizon サーバーを侵害します。彼らはこの脆弱性を使用して被害者のネットワーク上にプレゼンスを確立し、マルウェアを展開して永続的なアクセスを容易にします。
ラザルスグループによる攻撃の歴史
ラザルスグループは、朝鮮民主主義人民共和国(北朝鮮)の朝鮮人民軍総参謀部偵察局(RGB)により認可を受けているとされる脅威アクターです。
ラザルスは、その脅威に意図されている性質と目的、および頻繁に採用される幅広い戦術、技法、手順(TTP)から、持続的標的型攻撃(APT)に該当します。
BlackBerry の脅威研究者は、H0lyGh0st のような最近の攻撃を分析し、それらをラザルスのサブグループであるPLUTONIUMと関連付けました。ラザルスは、世界中で何億ドルもの被害をもたらした WannaCry ランサムウェアのような脅威にも関与していると考えられています。
ラザルスによる多くの侵入は、被害者のネットワークを探索し、データを抽出し、資格情報を収集するための長期的なアクセスを得る目的で、重要なインフラストラクチャを標的としています。
ラザルスグループによる最近の攻撃
こうした最近のラザルスによる攻撃の主な目標は、北朝鮮政府の目的に沿って、エネルギー企業の活動に対するスパイ行為を行うことであると思われます。
このグループは、脆弱な Log4Shell の欠陥を使用して、リバースシェルを確立するシェルコードを実行します。これにより、侵害されたエンドポイントで、さまざまなコマンドをいつでも検出されることなく実行できるようになります。
いったん悪用できるようになると、ラザルスグループは VSingle、YamaBot、および MagicRAT などのカスタムのマルウェアファミリーを利用します。Magic RAT は、感染したデバイスを特定してデータを取得するために使用されるリモートアクセス型トロイの木馬です。
VMWare Horizon は多数のユーザーアカウント権限で動作するため、ラザルスグループは Windows Defender を無効にしてからカスタムマルウェアを展開することで、攻撃の検出を極めて困難にします。CISA がセキュリティに対する「Shields Up」アプローチを取るよう警告を出すきっかけとなった多数のサイバー攻撃の中に、これらの攻撃も含まれています。
Log4J/Log4Shell とは
BlackBerry の脅威研究者は、Log4j/Log4Shell に関する詳細な情報を公開しています。
簡単に言えば、Log4j はパブリックおよびプライベート環境でグローバルに使用されるソフトウェアです。
Log4j の欠陥を悪用することは、攻撃者にとって、特別に細工したテキストを脆弱なアプリケーション(公開されている VMWare サーバーなど)に送信するだけの簡単な作業です。この後に、Log4j ライブラリにリモートサーバーから JAVA コードを取得するよう指示する特定の文字列が続きます。これにより、標的としたシステムの(バック)ドアが攻撃者に大きく開かれます。
脆弱なソフトウェアコンポーネントはマルウェアではないため、Log4j の脆弱性の存在は、ウイルスシグネチャを使用して既知の悪意のあるファイルを検出することに焦点を当てた従来のセキュリティ製品では認識できません。
BlackBerry による防御
CylancePROTECT® や CylanceOPTICS® など、BlackBerry が提供する洗練されたセキュリティソリューションは、シグネチャの代わりに高度に訓練された Cylance® 人工知能 (AI) モデルを使用し、既知または未知の攻撃手法を検出して実行を阻止します。
BlackBerry によるサポート
BlackBerry のインシデント対応チーム は、あらゆる業種のどのような規模の組織とも連携し、エンドポイントのセキュリティ体制を評価および強化し、ネットワークインフラストラクチャのセキュリティ、整合性、およびレジリエンスを積極的に維持するように支援します。
緊急のサポートが必要な場合は、電子メールでご連絡いただくか DLIR@blackberry.com、または当社の 問い合わせ フォームをご利用ください。