Kasperskyが明かすLazarusの韓国サプライチェーン攻撃の実態

Kasperskyが観測したLazarusグループのサイバー攻撃

Kasperskyのグローバル調査分析チーム（GReAT）は、悪名高いサイバー攻撃グループ「Lazarus」が関与する新たな攻撃を観測し、「Operation SyncHole」と名付けた。この攻撃は、主に韓国のサプライチェーンを狙っており、サードパーティ製ソフトウェアの脆弱性を突く方法と水飲み場型攻撃を組み合わせている。これにより、指定された組織の内部ネットワークに侵入する手口が明らかになった。

Lazarusの攻撃手法と標的

GReATのリサーチャーによると、Lazarusは韓国のIT、金融、半導体、通信産業の六つの主要な組織を標的にし、さらには他にも多くの組織が影響を受けている可能性がある。2009年から活動を続けているこのグループは、技術的な知見と資金力を背景に、高度なマルウェアを使用した多段階の攻撃を行っている。

特に、韓国で広く使用されている「Innorix Agent」からのゼロデイ脆弱性を発見し、迅速にパッチ適用に成功した。Innorix Agentは、セキュアなファイル転送に使用されるブラウザー統合型ツールであり、その脆弱性を利用することで一旦侵入されると追加のマルウェアを容易にインストールすることができる。

マルウェアの検出とその影響

実際に、Lazarusは「ThreatNeedle」や「LPEClient」といったマルウェアを展開し、内部ネットワークの足場を拡大している。GReATのリサーチャーは、これまでに確認されていたThreatNeedleの亜種が、正規のWindowsサービス「SyncHost.exe」に潜んでいることも分析している。また、Lazarusによる攻撃には、Cross EXという韓国の正規ソフトウェアが関連しており、これに対する脆弱性も確認されている。

水飲み場型攻撃の手口

Lazarusグループは、水飲み場型攻撃を用いて、訪問者のトラフィックをフィルタリングし、標的となる人物を攻撃者が制御するウェブサイトにリダイレクトさせていた。この手法は、多くのユーザーが集まるオンラインメディアのウェブサイトを侵害し、おとりとして活用するものであり、高度に戦略的な特徴が見受けられる。

KasperskyのGReATでディレクターを務めるイゴール・クズネツォフによれば、サードパーティ製のブラウザープラグインやヘルパーツールがセキュリティの懸念を高めていると指摘している。特に地域固有のソフトウェアや古いソフトウェアに依存する環境では、アタックサーフェス（攻撃対象領域）が大幅に拡大してしまうという問題がある。

まとめ

Lazarusの新たな攻撃活動「Operation SyncHole」は、韓国の重要な産業を標的にし、サプライチェーンを脅かす新しい脅威を浮き彫りにした。Kasperskyは、こうした脅威に対抗するため、様々なセキュリティソリューションを提供し、組織や個人を保護する役割を果たしている。詳細な情報は、Kasperskyの公式サイトやブログで確認できる。

詳細なソースは、KasperskyのSecurelistブログ「Operation SyncHole: Lazarus APT goes back to the well」でも確認できるので、興味がある方はぜひご覧いただきたい。