Lazarus Group攻撃の検知：ハッカーがPondRAT、ThemeForestRAT、RemotePEマルウェアでツールキットを拡張

Lazarus Group（北朝鮮支援の悪名高いハッカー集団、APT38、Hidden Cobra、Dark Seoulとしても追跡）は、最も危険な高度持続的脅威（APT）グループの1つとして長年にわたり知られています。少なくとも2009年から活動しており、Lazarusは一貫して金融機関を標的にしてきました。近年では、暗号通貨やブロックチェーン関連ビジネスを狙い、政権の違法収益源を支えています。

過去数年間、研究者はLazarusのサブグループ（AppleJeus、Citrine Sleet、UNC4736、Gleaming Pisces）が複数のキャンペーンを展開しているのを観測しており、いずれも暗号取引所、トレーディングプラットフォーム、高額資産を扱う金融機関を狙っています。中でも注目すべき事例は、2022年4月に発生したTradeTraitorキャンペーンで、投資会社やウォレット所有者、NFTユーザーを精巧なソーシャルエンジニアリングで攻撃しました。

Lazarusは従来の手法に忠実で、古い脆弱性を悪用してカスタムRATを展開することが多いです。最近のキャンペーンでは、この戦略を継続しつつ、PondRAT、ThemeForestRAT、RemotePEといったクロスプラットフォームマルウェアをソーシャルエンジニアリングやゼロデイ脆弱性を使って配布しており、グループの持続性と進化する技術的高度性を示しています。

PondRAT、ThemeForestRAT、RemotePEによるLazarusグループ攻撃の検知

サイバー犯罪は2025年末までに年間10.5兆ドルに達すると予測されており、金融動機型の高度な攻撃が増加しています。デジタル脅威が複雑化する中、Lazarusのような金融動機型グループは依然として活発で、新たな攻撃手法を開発して利益を増やしています。

SOC Prime Platformに登録すると、Lazarusグループ関連の悪意ある活動を検知するためのSigmaルールの厳選セットを取得できます。これにはAI駆動の検知エンジニアリング、自動化された脅威ハンティング、高度な脅威検知機能を備えた製品スイートがサポートされています。下の検知を探索ボタンを押すだけで、関連する検知スタックに直接アクセス可能です。

検知を探索

Lazarusグループ関連のサイバー攻撃検知に関するさらに関連性の高いコンテンツを探す場合は、Threat Detection Marketplaceで「Lazarus」タグで検索できます。

すべてのルールは複数のSIEM、EDR、データレイク技術に対応しており、MITRE ATT&CK®にマッピングされているため、脅威調査を効率化できます。また、各ルールには豊富なメタデータが付与されており、CTI参照、攻撃タイムライン、監査設定、トリアージ推奨事項などを含みます。

さらに、セキュリティ専門家はUncoder AIを利用して脅威調査を効率化できます。Uncoderは脅威に基づいた検知エンジニアリングのためのプライベートIDE兼コパイロットで、専用のFox-ITおよびNCC GroupレポートのIOCを自動的にハンティングクエリに変換し、Lazarus活動の効率的な調査を可能にします。また、Uncoderは生の脅威レポートから検知ロジックを作成したり、ATT&CKタグ予測、AI駆動クエリ最適化、複数プラットフォーム間での検知コンテンツ翻訳をサポートします。

Lazarusグループ攻撃の分析

Fox-ITおよびNCC Groupの研究者は、AppleJeus、Citrine Sleet、UNC4736、Gleaming Piscesに関連するLazarusグループの新たな活動を確認しました。この金融動機型サブグループは、クロスプラットフォームマルウェアPondRAT、ThemeForestRAT、RemotePEを配布する最近のソーシャルエンジニアリングキャンペーンに関連しています。

2024年に観測されたこのキャンペーンでは、分散型金融（DeFi）セクターの組織が標的となり、最終的には従業員のシステムが侵害されました。攻撃者は内部探索、資格情報の窃取、その他悪意ある活動のためにリモートアクセス型トロイの木馬（RAT）と補助ツールを使用しました。

攻撃チェーンはソーシャルエンジニアリングから始まり、LazarusオペレーターはTelegram上でトレーディング会社の社員を装い、CalendlyやPicktimeを模倣した偽スケジューリングサイトに誘導します。2024年には一部でChromeゼロデイが悪用された可能性があります。これは、Citrine SleetがChrome脆弱性を利用してFudModuleルートキットを配布した以前の報告と一致します。

初期アクセス経路は完全には確認されていませんが、調査者はPerfhLoaderというローダーの展開によりPondRAT（POOLRATの簡易版）がドロップされたことを確認しています。PondRATとともに、スクリーンショッター、キーロガー、Chrome資格情報窃取ツール、Mimikatz、FRPC、プロキシソフトウェアも配布されました。

PondRATは2021年から使用されており、ファイルの読み書き、プロセスの実行、シェルコード実行などの基本的なRAT機能を提供します。数か月間、同グループはPondRATをThemeForestRATと組み合わせて使用し、その後、よりステルス性の高いRATであるRemotePEに切り替えました。

PondRATが展開されると、ThemeForestRATを直接メモリ上または専用ローダー経由で読み込むことができます。ThemeForestRATは、ファイルやドライブの列挙、プロセス操作、安全なデータ削除、ネットワーク接続テスト、シェルコード注入など20以上のコマンドをサポートする高機能RATです。また、RDPセッションやUSBデバイスの監視により環境認識も行います。

攻撃チェーンの最終段階はRemotePEで、RemotePELoaderおよびDPAPILoaderを通じて取得される高度なC++ RATです。高価値ターゲット向けに使用され、Windows Data Protection API（DPAPI）を利用した環境鍵管理により、被害端末なしでは解析が極めて困難です。

PondRATからThemeForestRAT、そしてRemotePEへの段階的な移行は、Lazarusが単純なローダーから始め、よりステルス性と機能を備えたインプラントに段階的に移行する戦略を示しています。潜在的な侵入に先手を打つため、SOC Prime Platformは、AI、オートメーション、リアルタイム脅威インテリジェンスを融合した企業向け製品スイートを提供し、洗練された攻撃を予防し、データ漏洩リスクを最小化します。