昨年、バングラデシュ中央銀行に対して8100万ドルをサイバー攻撃したとされるハッカー集団は、これまで考えられていたよりもはるかに広範囲の組織を標的にしている。
カスペルスキー研究所の研究者らによると、いわゆる「ラザルス」と呼ばれるサイバースパイ・破壊工作集団は、世界中の銀行だけでなく、カジノ、投資会社のソフトウェア開発会社、暗号通貨企業も攻撃している。
カスペルスキー研究所は、東南アジアおよびヨーロッパの銀行に同グループが残した証拠のフォレンジック分析を通じて、同グループが使用する悪意あるツールとその活動方法を深く理解しました。ハッカーの手口に関する知識は、金融機関から多額の金銭を盗み出そうとした少なくとも2件の攻撃を阻止するのに役立っています。
手口
ハッカーは通常、水飲み場型攻撃を実行し、被害者(銀行員)のコンピュータに悪意のあるコードを埋め込むことから始めます。足掛かりが確立されると、ハッカーは標的の金融機関内の他のホストへの感染を試みます。
次の段階では、内部偵察を行い、標的ネットワークのマッピングを行います。具体的な標的としては、認証情報が保存されているバックアップサーバー、メールサーバーやドメインコントローラー、金融取引の記録を保存または処理するサーバーなどが挙げられます。
最後に、ハッカーは金融ソフトウェアの内部セキュリティ機能を回避し、銀行に代わって不正な取引を発行できる「特殊なマルウェア」を展開します。
東南アジアでのインシデントの分析中に、カスペルスキー研究所の専門家は、銀行のセキュリティチームがインシデント対応を要請した日の7か月前に、ハッカーが標的の銀行ネットワークをスキャンしていたことを発見しました。
カスペルスキー研究所の記録によると、2015年12月以降、韓国、バングラデシュ、インド、ベトナム、インドネシア、コスタリカ、マレーシア、ポーランド、イラク、エチオピア、ケニア、ナイジェリア、ウルグアイ、ガボン、タイ、その他多くの国の金融機関、カジノ、投資会社向けソフトウェア開発会社、暗号通貨関連企業に、ラザルス・グループの活動に関連するマルウェアのサンプルが出現している。新たなサンプルが検出されたのが先月になってからであり、ハッカーたちは最近は活動が鈍っているにもかかわらず、活動を止めるつもりはないことがうかがえる。
ラザルスの世界的な拡散[出典:KLブログ投稿のスクリーンショット]
2009年から活動しているLazarusグループは、悪名高いソニー・ピクチャーズへのハッキング事件にも関与した疑いがあります。現在進行中の不正行為の第一容疑者は北朝鮮です。カスペルスキーのチームは、ハッカーが北朝鮮の非常に珍しいIPアドレス範囲からコマンド&コントロールサーバーに接続したという、孤立した事例を一つ発見しました。
カスペルスキー研究所によると、これはハッカーによるオペレーション・セキュリティ上のミスか、あるいは何者かが綿密に計画した偽旗作戦(つまり、NORK に罪を着せようとする綿密な試み)のいずれかである。
OpSec の失敗 [出典: KL ブログ投稿のスクリーンショット]
カスペルスキー研究所は月曜日、西インド諸島セント・マーチン島で開催されたセキュリティアナリストサミットのセッションで、調査結果の詳細を発表しました。ロシアのセキュリティソフトウェア企業である同社は、企業が企業ネットワーク内でこれらの攻撃グループの痕跡を探すのに役立つ、侵害の兆候(IOC)などのデータを公開しました。®
Kaspersky Lab の研究者が Lazarus 攻撃をどのように調査したかを説明したアニメーション ビデオは以下にあります。
YouTubeビデオ
