北朝鮮政府が管理していると考えられているラザルス・グループのハッキング活動は、潜在的な標的に売り込む新たなマルウェアツールを持っており、米国はこれを懸念し始めている。
これは US-Cert の報告によるもので、同グループ (別名「Hidden Cobra」) は、制御サーバーに安全に接続し、感染したマシンから盗んだファイルをアップロードできる新しいスパイウェアを入手したとされています。
「Hoplight」として知られるこのマルウェアは 9 つのファイルの集合体ですが、そのほとんどは管理者やセキュリティ ソフトウェアが攻撃に気付かないように難読化レイヤーとして機能するように設計されています。
US-Certは、新たなNorkマルウェアに関するレポートの中で、「これらのファイルのうち7つは、マルウェアとリモートオペレータ間のトラフィックを隠すプロキシアプリケーションだ」と述べている。
「プロキシは、有効なパブリック SSL 証明書を使用して偽の TLS ハンドシェイク セッションを生成し、リモートの悪意のある攻撃者とのネットワーク接続を偽装する機能を備えています。」
これらの7つのプロキシ層の下で、Hoplightは有効なSSL証明書を使用して安全な接続を確立し、最後の9番目のファイルは、盗み出した情報を送信するために制御サーバーへの送信接続を確立しようとします。この証明書は、韓国の検索エンジン兼サービスプロバイダーであるNaverのパブリックSSL証明書のように見えます。
マカフィー:すみません、こちらこそ。シャープシューターマルウェアはずっとノークスのラザルスグループでした
続きを読む
US-Certによると、このマルウェアパッケージは、ファイルのバンドル内で、様々なリモート制御およびスパイウェア活動を実行できるとのことです。これには、ローカルファイルの読み取りと書き込み、実行中のプロセスやレジストリ設定の作成、終了、または変更、リモートホストへの接続によるファイルのアップロードとダウンロードなどが含まれます。
ラザルス・グループは、政府支援のハッカー集団の中では異端の存在と言えるでしょう。他の国家支援ハッカー集団とは異なり、このグループの主な目的はスパイ活動や知的財産の窃盗ではなく、孤立した国家の国庫への資金流入を支援することを目的とした金融犯罪です。
ラザルス/ヒドゥン・コブラは、2014年にソニー・ピクチャーズに対して起きた注目を集めた攻撃を実行したことでも有名である。
このグループは、通常、スピアフィッシングの手法を使用してマルウェアを海外の標的に送り込んでおり、US-Cert は、攻撃から身を守るために、管理者とユーザーに対して基本的なセキュリティ対策 (システムを定期的にパッチ適用し、マルウェア対策を最新の状態に維持するなど) を講じることを推奨しています。®
