ラザルスハッカーグループ、標的を変更し新たなデスノートキャンペーンで高度な手法を適用

悪名高い北朝鮮のハッキング集団 ラザラスグループ（APT38、Dark Seoul、またはHidden Cobraとしても追跡されています）は主に暗号通貨企業を標的とする国家支援の脅威アクターとしての評判を得ています。新たに発見された悪意のあるキャンペーン『DeathNote』では、防衛機関と自動車、学術部門を主に狙うことでフォーカスを変更しています。

ラザルハッカーチームによるDeathNoteキャンペーンの検出

2009年以来、サイバー脅威の舞台で注目されてきたラザルのハッカーは、新しい脅威と強化された攻撃能力でサイバー防御者に挑戦し続けています。最新のDeathNoteキャンペーンでは、新しいターゲットの実験とより高度なツールや技術の使用が、防御力に対する迅速な対応を必要とします。組織がインフラストラクチャ内で敵対行動をタイムリーに特定するのを助けるため、SOC Primeは、我らの熱心なThreat Bounty開発者 Emre Ay:

によって書かれた新しいSigmaルールを最近リリースしました。

このSigmaルールは、ラザラスAPTチームがデフォルトのドメインコントローラポリシーへのアクセスを試みて、妨害されたシステムについての情報を発見しようとする最新の活動を検出します。この検出は、最新の MITRE ATT&CK®フレームワークv12 に合わせたもので、Discovery戦術およびそれに対応するGroup Policy Discovery（T1615）技術を扱っています。クロスツール互換性を確保するため、このルールは20以上のSIEM、EDR、XDR、BDPソリューションに即座に変換可能です。

自身の検出やハンティングアイデアを収益化する方法を探しているサイバーセキュリティの専門家は、我々の Threat Bounty Program を活用して、自身のSimgaルールを業界の同僚と共有し、技能を金銭的利益に変えながら集合的な専門知識に貢献できます。

ラザルハッキング集団による高頻度の攻撃と、その絶え間ない敵対ツールキットの進化により、積極的な組織はサイバー防御能力を強化し、関連する脅威を事前に検出しようとしています。 検出を探る 下記のボタンをクリックすることで、防御者はラザラスグループ活動検出用のSigmaルールのリスト全体にすぐにアクセスできます。すべての検出アルゴリズムは、CTI、ATT&CKリンク、実行可能バイナリ、および単純化された脅威調査のための関連メタデータで豊かになっています。

検出を探る

ラザルハッカーチームの攻撃分析：DeathNoteキャンペーンの真相

悪名高い北朝鮮の脅威アクターは、長期的なDeathNoteキャンペーンに関連するツールキットや戦略を急速に進化させています。最新の 調査 では、ラザルが暗号通貨関連の企業から国防請負業者、学術機関、自動車会社へとシフトし、潜在的な被害者のリストを大幅に拡大していることが明らかになっています。

DeathNoteクラスター（NukeSpedまたは Operation Dream Jobとしても追跡されています）は、偽の求人情報を悪用して、被害者を危険なリンクをクリックしたり感染ファイルを開いたりさせ、スパイウェアを展開する結果となります。最初のキャンペーンの開始は2019年から2020年に遡り、当初は暗号通貨市場のプレイヤーに集中していました。DeathNote活動のピークは2020年8月と2021年7月に記録され、ハッカーの興味は政府、防衛、工学部門に移っていました。最近の観察に基づき、安全保障の専門家は、東ヨーロッパの国々が現在攻撃を受けており、防衛請負業者や外交官関連の偽造文書や求人情報がラザルによって更新されていると判断しています。

ラザル活動の暗号通貨ベクトルは通常、同じ悪意のある手順に従います。ハッカーグループはビットコインマイニングをテーマにした誘惑を用いてマクロ付けされたドキュメントを押し込み、侵害されたインスタンスでManuscryptバックドアを発動します。

ラザルによるより広範な防衛産業に対するキャンペーンに関連したわずかに異なる戦略で、自動車および学術部門が標的とされます。こうした攻撃はしばしば、被害者のマシンにBLINGCANおよびCOPPERHEDGEインプラントを展開する結果となります。

DeathNoteに関連する別の攻撃キルチェーンは、正当化されたPDFリーダーアプリSumatraPDFを悪用してさらなる悪意ある行動を進めます。この正当なソフトウェアの悪用は、ラトビアや韓国の組織に対する攻撃で記録されており、バックドアや情報窃盗の配送につながります。これは国家支援のアクターにとって広く利用される攻撃手法であり、サプライチェーン能力の実績があります。たとえば、ラザルは 2023年3月に明らかにされた、企業VoIPサービスプロバイダー3CXに対する 攻撃に関与したとされています。

悪名高い国家支援のラザルAPTグループによるサイバー攻撃の増加およびその高度化により、サイバー防御者には超対応が要求されています。APT関連ツールおよび攻撃に取り組むための検出コンテンツを完全に装備しているSOC Primeに依存してください。国家支援のアクターに関連した行動を検出するための1000以上のルールにアクセスし、200以上のSigmaルールを無料で入手してください https://socprime.com/ または、セキュリティニーズに合わせたオンデマンドサブスクリプションを選び、関連する検出アルゴリズムの全リストにアクセスしてください https://my.socprime.com/pricing.