Information
Warning NEWS

ここに記載する情報は過去にハッキンググループのメンバーで共有・売買され、サイバー攻撃に利用していた脅威情報です。
最新情報とは異なる過去の情報も含まれますので、参考にしていただき現在の最新情報を入手してサイバーセキュリティ対策の実施をお奨めします。

情報公開日：2024年04月29日
確認場所：北朝鮮ブラックマーケット 闇チャネル（SNS）他
言語：北朝鮮語/中国語/英語
内容：Lazarusハッキンググループの攻撃手法に関するレポート
題名：Lazarusハッキンググループ、採用情報を装ってKaolin RATマルウェアを配布

北朝鮮のハッキンググループLazarusが金融機関を狙ったサイバー攻撃を敢行中です。
2023年夏ごろよりアジアの特定個人をターゲットにして採用情報を装ったフィッシングメールを送り、リモート接続を可能にするKaolin RATマルウェアに
感染させて権限を奪い、内部に侵入する手法の攻撃を行います。
攻撃ターゲットは金融機関で、特に銀行及び暗号資産取引所に関連する企業を狙っています。

当社のSIPSサイバー脅威情報提供サービスでは、北朝鮮の国家支援とされる
ハッキンググループ“Lazarus”の動向を脅威情報として4月29日に注意喚起しました。

左図は当社のサービスポータルサイトの画面です。
ここには、具体的な攻撃に関する情報を掲載して、対策を取れるようにレポートとして
掲載してあります。

概略は以下の通りです。
① 採用情報を装いメールやSNSでコンタクトを取ってくる。
② 本文内にあるURLに誘導して関連する資料のダウンロードを勧める。
③ ファイルのタイムスタンプを変換しC2サーバからDLLバイナリファイルがダウンロードされる。
④ 指定のファイルがダウンロードされるとマルウェアに感染する。

その他
・ターゲットは金融業界の人間で、特に銀行や暗号資産取引所である。
・コンタクトツールは様々なチャットツールやSNSなど多種である。
・当該マルウェアはセキュリティ検知を回避可能である。
・感染すると感染者のアクセスする権限だけでなく、セッション情報も盗み取られる。

※その他詳細に関しては当社サービスポータルから確認できます。

当攻撃は2023年夏から実行されており、様々なツールを利用して言葉巧みに採用情報を送り込んでいます。
　「現職より高給を提示するので一度見てほしい」
　「貴方の能力を高く評価したい」
　「○○社で実力を発揮してあなたの力で世界を変えませんか」
などの様な甘い言葉で誘ってきますが、安易にコンタクトしないように注意してください。

金融機関の関係者が感染すると、感染者の権限を奪われ、通常業務時の通信セッション情報を奪われてしまいます。
最終的にはサーバの最高権限まで奪われ、内部に侵入後は金融資産などの不正操作により不正流出が発生する可能性があります。


その他関連情報　北朝鮮ハッキンググループ及び暗号資産に関連するレポート

【SIPS ハッキングレポート】北朝鮮 APT37ハッキンググループの北朝鮮関連の政治的イシューを囮にした攻撃活動の分析　2024/03/13
APT37ハッキンググループが、ROKRATトロイの木馬を感染させて機密情報を窃取する攻撃手法を分析したレポート

【SIPS ハッキングレポート】北朝鮮 KONNI APTハッキンググループの暗号資産業界を狙ったAutoItマルウェア活動　2024/04/05
KONNIマルウェア(トロイの木馬)とAPT37の関連、及びあbb豪志さん業界を狙う手法を分析したレポート

【SIPS ハッキングレポート】北朝鮮 APT37ハッキンググループが悪意のLNKを使用したRokRat流布活動の分析　2024/04/25
APT37ハッキンググループがインフラ産業を狙いLNKファイルからRokRatマルウェアを設置し重要機密情報を窃取する手法の分析レポート

　 ※SIPS ハッキングレポートはSIPSで収集した情報を分析してサービス契約者に提示する脅威情報分析レポートのひとつです。
　　※上記に示した情報はSIPS脅威情報提供サービスの中の一部です。（全てのレポートは1000以上存在）