ラザルスグループがヨーロッパの製造業と電機産業を攻撃

[post-views]
12月 21, 2020 · 5 分で読めます
ラザルスグループがヨーロッパの製造業と電機産業を攻撃

悪名高いラザルスAPTグループ(別名HiddenCobra、APT37)が再びサイバー界を騒がせました。今回は、ヨーロッパの主要な製造業と電力産業を対象とした高度なサイバーエスピオナージキャンペーンをセキュリティアナリストが明らかにしました。 

ラザルスのツールセットと攻撃シナリオ

ラザルスハッカーが使用した初期攻撃ベクトルは Operation North Star で使用されたものと似ていました。特に、防衛および航空宇宙の請負業者に対するサイバー犯罪者は、被害者を引き込むために包括的なLinkedInのソーシャルエンジニアリング戦術を開発しました。攻撃者は、主要な国際企業の正規のHRマネージャーを装い、ターゲットの信頼を得て従業員を騙してスピアフィッシングの添付ファイルを開けさせました。実行されると、悪意のあるWord文書やISOファイルが一連のマルウェアをターゲットネットワークに投下し、ハッカーが横方向に移動し内部偵察を行う能力を提供しました。ほとんどの場合、攻撃者はカスタム版のMimikatzを使用してクレデンシャルダンプを行い、既知のエクスプロイト(例:EternalBlue)を使用して持続性を獲得し、特権を高めました。その後、攻撃者はBLINDINGCAN/DRATzarus RATを展開して機密データを検索しました。ラザルスのハッカーは、妥協したWebサイトを基にした複雑なC&Cインフラストラクチャを介して機密情報の一部を外部に送信しました。これによりAPTメンバーは検出を回避できました。特にほとんどのWebサイトは公開されたエクスプロイトを通じて悪用されていました。セキュリティ研究者たちが 結論づけると、このキャンペーンは非常に長期的(2020年2月から11月)で、サイバーエスピオナージを特に狙ったものでした。侵害されたネットワークに直接的な害を与えなかったためです。 

ラザルス攻撃の検出コンテンツ

エミル・エルドアン が最新のラザルスAPTキャンペーン検出のための独占的なSigmaルールを開発しました。これはThreat Detection Marketplaceで既に利用可能です: 

https://tdm.socprime.com/tdm/info/sYDpoPswwaR8/7TLbcHYBmo5uvpkjTltt/

このルールは次のプラットフォームでの翻訳があります:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 永続性

技法: レジストリの実行キー/スタートアップフォルダ (T1060)

 

ラザルスグループ概要

北朝鮮ラザルスグループは、金正恩政府のために財政的動機のキャンペーンや政治的攻撃の両方で最も多作なアクターの一つとして知られています。グループは 2009年から活動しており、2014年のソニー・ピクチャーズのセキュリティ侵害、2016年のバングラデシュ中央銀行に対する銀行強盗、2017年のWannaCry攻撃などの主要なサイバーセキュリティ事件の背後にいます。2020年もラザルスにとって実りのある年でした。ハッカーたちは 暗号通貨取引所に対する儲けたキャンペーンに関与し、主要国際企業を狙ったサイバエスピオナージ作戦、および 製薬会社 に対するCOVID-19ワクチン開発の標的となる攻撃に関与しました。

 

お使いのセキュリティソリューションに互換性のある最高のSOCコンテンツを探していますか?我々の Threat Detection Marketplaceで無料サブスクリプションを取得しましょう。コーディングを楽しみ、脅威ハンティング作戦に貢献したいですか?SOC Primeの Threat Bounty Program に参加して安全な未来を築きましょう!

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事