WithSecureは、同社のセキュリティリサーチチームが、最近観測されたヨーロッパ/北米/南アジアの医療研究/エネルギー産業へのサイバー攻撃キャンペーンが、北朝鮮の国家サイバー攻撃グループ「Lazarus Group」によるものであると特定したリサーチ結果を発表した。
Lazarus Groupは、北朝鮮の朝鮮人民軍偵察総局の一部であると目されるAPT(Advanced Persistent Threat = 高度かつ持続的な脅威)グループ。WithSecureのリサーチチームは、「WithSecure Elementsセキュリティプラットフォーム」で保護されている企業でランサムウェアの疑いのある攻撃が検知されたことをきっかけに、Lazarus Groupの最新攻撃キャンペーンを観測したという。
調査の結果同社は、このキャンペーンはランサムウェアではなく、より大規模な情報収集オペレーションの一部であることを示す証拠を発見。収集した証拠に基づき、このキャンペーンはLazarus Groupが諜報活動のために官民の医療研究機関、エネルギー/リサーチ/防衛/医療の各分野で利用される技術の開発メーカー、主要大学のケミカルエンジニアリング関連研究室などをターゲットにしていたものであると結論付けている。
なお、同調査では日本のエネルギー業界は、Lazarus Groupによる攻撃キャンペーンのターゲットとはなっていないと思われるものの、2022年前半には同グループによるカナダ/アメリカ/日本のエネルギー関連企業へのサイバー攻撃が観測されているという。また、同グループはこれまで日本を含む多くの国の暗号資産業界に攻撃を仕掛けたと目されているため、日本企業も防御を緩めてはならない状況だとしている。
今回の攻撃キャンペーンにおいて、過去の攻撃から進化したと考えられる点(一部)
- これまでの攻撃とは異なり、ドメイン名を使用せずIPアドレスのみに依存するなど、新しいインフラが使用されている
- Lazarus GroupやKimsuky(北朝鮮が関与する別の攻撃グループ)が過去の攻撃で使用したインフォスティーラー型マルウェア「Dtrack」の改良版が使用されている
- 攻撃者がファイアウォールをバイパスしてリモートデスクトッププロトコル権限を持つ新しい管理者アカウントを作成できるマルウェア「GREASE」の新バージョンが使用されている
