Rまとめ

【サイバー攻撃】北朝鮮の攻撃グループ「Lazarus」の日本での活動を観測、カスペルスキーが注意を呼び掛け [エリオット★]

投稿日:

1 :へっぽこ立て子@エリオット ★:2020/09/25(金) 14:59:53.48 ID:CAP_USER.net
 さまざまなOSを標的とした攻撃に使用されるマルウェアフレームワーク「MATAフレームワーク」や「VHDランサムウェア」について、攻撃グループ「Lazarus(別名:HiddenCobra)」の関与があることを株式会社カスペルスキーが明らかにした。

□Windows/Mac/Linux版が存在する「MATAフレームワーク」
 Lazarusは北朝鮮の国家支援型サイバー攻撃グループで、2009年から活動が観測されている。

 MATAフレームワークは、ローダーやプラグインのほか、マルウェアの設定データやプラグインの読み込み、指令サーバーとのやりとりを行うオーケストレーターなど、さまざまなコンポーネントから構成されている。Windows版、Mac版、Linux版が存在しており、攻撃の痕跡から2018年4月ごろから使われていることが分かった。


ローダーやプラグイン、オーケストレーターなどから構成される「MATAフレームワーク」

 Linux版はオーケストレーターとプラグインのほか、正規のコマンドラインツールである「socat」と、Atlassian Confluence Serverの脆弱性(CVE-2019-3396)を悪用するスクリプトが含まれていた。また、機能面ではほぼ同じであるMac版は、オープンソースソフトウェアを基にした、トロイの木馬化されたアプリが見つかっている。

 攻撃の主な対象は、ソフトウェア開発企業、eコマース企業、インターネットサービスプロバイダーなどで、ポーランド、ドイツ、トルコ、韓国、インドのほか、日本国内においても攻撃が観測されている。標的企業から顧客データベースを探し出してデータを盗むために利用されている可能性があり、ある事例ではランサムウェアの拡散にも利用されていることを確認している。


株式会社カスペルスキーの石丸傑氏(グローバル調査分析チームマルウェアリサーチャー)

 MATAフレームワークのオーケストレーターから特徴的な文字列「c_2910.cls」「k_3872.cls」が見つかったが、攻撃グループのLazarusが使用した「Manuscryptバックドア」にも同様の文字列が含まれており、設定情報などのデータ構造も似ていることから、カスペルスキーの石丸傑氏(グローバル調査分析チームマルウェアリサーチャー)は同グループが関与している可能性があるという。


オーケストレーターから特徴的な文字列「c_2910.cls」「k_3872.cls」が見つかった

>>2 へ続く

□関連リンク
MATA:マルチプラットフォームなマルウェアフレームワーク(カスペルスキー)
https://blog.kaspersky.co.jp/mata-framework/28875/
Lazarusの実験的ランサムウェア攻撃(カスペルスキー)
https://blog.kaspersky.co.jp/lazarus-vhd-ransomware/28892/

2020年9月25日 13:04
INTERNET Watch
https://internet.watch.impress.co.jp/docs/news/1275791.html

27 :名刺は切らしておりまして:2020/09/25(金) 16:03:43.57 ID:K+ALC52W.net

●外国のサイバー攻撃集団

北朝鮮の「Lazarus」、中国の「五毛党」、
この二つの集団に日本の政府や企業の機密情報
が抜かれていることは前から分かっている。
それでもあまり気にしてないのが日本の特徴だ。
これも日本人の平和ボケによるものだ。

42 :名刺は切らしておりまして:2020/09/25(金) 18:19:01.76 ID:651MiDhN.net

金日成と金正銀の写真をデスクトップにしとくか。

39 :名刺は切らしておりまして:2020/09/25(金) 19:00:03.73 ID:ODUy2muvs

まあ、ゲームの設計士もアームだろ?

31 :名刺は切らしておりまして:2020/09/25(金) 16:51:32.56 ID:FVwOQZj8.net

>>3
わははは、ばかめ。
::1だろ。

17 :名刺は切らしておりまして:2020/09/25(金) 15:38:35.99 ID:zXr49noD.net

カスペルスキーもロシアのマルウェアやろ

24 :名刺は切らしておりまして:2020/09/25(金) 15:49:43.89 ID:+XWjFZP5.net

アメリカからバックドアの存在を指摘されているカスペルスキーさん

20 :名刺は切らしておりまして:2020/09/25(金) 15:42:00.16 ID:wIQ1YzRP.net

【第二波のウイルス感染】とは全てのプログラムを壊す事かと思う 日本政府

28 :名刺は切らしておりまして:2020/09/25(金) 16:16:08.51 ID:CMfU9LBt.net

カスペルスキーを信用できません

55 :名刺は切らしておりまして:2020/09/25(金) 22:48:35.88 ID:EAGRsO5s.net

チョン学でサイバー攻撃の授業とかやってそう

33 :名刺は切らしておりまして:2020/09/25(金) 17:09:17.31 ID:6rfnuhE5.net

ゆうちょもそうだろ

26 :名刺は切らしておりまして:2020/09/25(金) 16:00:09.18 ID:I524z2B5.net

そういや、セキュリティソフトはwindowsの標準のやつ使ってるけど、大丈夫かって思う
本当は昔みたいにZonealarmで全ポート塞いでから、必要に応じて逐次開放するのが
安心なんだろうけど、非常にめんどくさいしな

11 :名刺は切らしておりまして:2020/09/25(金) 15:27:24.38 ID:IL1iN8QJ.net

そういや、日本で最初にビットコインで損出した
外国人社長が、ニヤニヤ笑いながら会見してたけど
あいつその後、どこで何やって暮らしてるんだろう
逃げ切ったんかな

10 :名刺は切らしておりまして:2020/09/25(金) 15:23:32.97 ID:oowgjgmN.net

>>3
怒ったぞ、かわりにお前のもばらしてやる。

ホスト名がlocalhostだろ、どうだ?

43 :名刺は切らしておりまして:2020/09/25(金) 18:35:09.63 ID:TRjRrIkv.net

北のサイバー部隊
3000人
天才を 半島中から 集合

22 :名刺は切らしておりまして:2020/09/25(金) 15:46:41.11 ID:0x84B0rn.net

>>19
どんなに優秀でも仕事量が多すぎて対応できない
軍隊と同じ

58 :名刺は切らしておりまして:2020/09/26(土) 12:40:31.82 ID:UkXo/k0R.net

>>50
中国経由

21 :名刺は切らしておりまして:2020/09/25(金) 15:42:40.47 ID:UFuhmO4K.net

まじかよ、どうしよう。
セキュリティソフトってトレンドマイクロのとこ以外でどこが良いんだろ?(´・ω・`)

56 :名刺は切らしておりまして:2020/09/26(土) 04:22:42.86 ID:yUZIe71h.net

スターソルジャーのラザロ思い出した。

56 :名刺は切らしておりまして:2020/09/26(土) 04:22:42.86 ID:yUZIe71h.net

スターソルジャーのラザロ思い出した。

25 :名刺は切らしておりまして:2020/09/25(金) 15:52:49.22 ID:Eh2ImNxr.net

  _ノ乙(、ン、)_セキュリティログが溜まりまくりよ

38 :名刺は切らしておりまして:2020/09/25(金) 18:36:40.69 ID:GSnitxihq

買い物データも勿論個人情報だから

走行データなんかもかな?

何を検索したか、とかも個人情報の範疇。
ターゲティング広告などもっての他だわ。

●広告料金だけ安い訳でもないだろ?通信料が、

ゲスニックス財務相のパナマ文書隠匿仲間の高潤者詐欺師団体・犬🐶NHK
のインターネット参入に於ける受信料
なんてどうせ企業やカルト団体が主で
問題は
〈税金補助金〉がインターネット企業や、NTTドコモへ流入するって事🦑。
フアーウエイにも無論じゃね?

2 :へっぽこ立て子@エリオット ★:2020/09/25(金) 15:00:04.26 ID:CAP_USER.net

>>1 から続く

□「VHDランサムウェア」にも共通点を発見
 VHDランサムウェアを用いた攻撃にもLazarusが関与している可能性があることを同氏は指摘する。

 VHDランサムウェアは、暗号化したファイルの拡張子に「.vhd」を使用する、身代金要求型のランサムウェアだ。同ランサムウェアを用いた攻撃は欧州や日本国内で3月から観測されている。

 感染までの流れだが、SSL-VPN製品の脆弱性を悪用することでVPNをバイパスして内部ネットワークへ侵入し、内部端末にてSMBv1の脆弱性「MS17-010」を悪用してファイルレス型のバックドアを感染させて指令サーバーと通信を行う。また、「AdFind」「Sysinternals」などの正規ツールを用いて内部ネットワークを探索し、ユーザー情報や端末情報に加えてドメイン管理者の認証情報の窃取を行う。


「VHDランサムウェア」感染までの流れ

 その後、取得したドメイン管理者の認証情報を用いて各端末上にダウンローダーを複製してリモートで実行する。ダウンローダーによってVHDランサムウェアがダウンロードされ、最終的に各端末上のファイルが暗号化されるようになる。

 ファイルレス型のバックドアについて解析したところ、複数のMATAプラグインとオーケストレーターが攻撃起点となった端末から発見されたことからLazarusが関与している可能性が出てきたという。そのため、同グループが日本国内を含めて活動を活発化している恐れがあるとみている。


痕跡からLazarusが関与している可能性が出てきた

 石丸氏はこれらの脅威への対策として、セキリティアップデートの実施、EDR製品の導入やランサムウェア対策のバックアップ、アクセスコントロールの見直しなどを行うよう注意を呼び掛けた。

59 :名刺は切らしておりまして:2020/09/26(土) 21:31:05.76 ID:eLMCak2n.net

近隣国に好き放題去れてる日本、基礎基本を忘れたのか、金までとられ

46 :名刺は切らしておりまして:2020/09/25(金) 19:05:36.57 ID:QorEeZcc.net

なんかロシアが攻撃しそうなメンツだなぁ

51 :名刺は切らしておりまして:2020/09/25(金) 20:52:41.21 ID:zc8cKM7u.net

カスペルスキー自体ロシアの諜報機関…

44 :名刺は切らしておりまして:2020/09/25(金) 18:55:08.89 ID:1XNrRVA1.net

win10でノートンをアンインストールするべきか悩んでいる
Windows Defenderを頼るか悩むわ

14 :名刺は切らしておりまして:2020/09/25(金) 15:33:12.13 ID:wIQ1YzRP.net

>>1
ハッカー連中はこぞって 日本のシステムを構築してやってくれくれないか?誰も 組めてなくボロボロだ それと ついででよいから防衛庁 法務省も構築してやってくれ 頼んだぞ

36 :名刺は切らしておりまして:2020/09/25(金) 17:41:25.40 ID:Gp/vvDUff

キム・チョルのパスポートは偽物と発表してない
マレーシア政府、札街されたのはジョン南ではない
と考えるべき。いずれにせよ北は悪い軍国国家。
ある国の中で朝鮮系の血が白街され100人以上が札街
されたラシイ、見抜いている1千万人前後の頭脳優秀な
国民たち、さて、どこの国の話かな。政治利用出来な
い幼稚園レベルの政治、×鮮祖ーー蓮たち。日朝国交
樹立するとサイバーなくなる。樹立後、大企業たちが
復興事業に参加し成長する大企業出てくる。しかし
胸にブルーバッチをつけ半人扱い、進まない
大企業成長戦略政策。アへは幼稚政剣。喜び組苛めされ
苦しんで生きている在日韓国朝鮮人少女たちを助けた
日本一の民主大企業はホンダ、日産、ロッテ、優遇を。

50 :名刺は切らしておりまして:2020/09/25(金) 20:37:18.62 ID:wzIcKQiV.net

北は何で国外にネット繋げるんだよ
他国は基幹部分で通信弾けや

48 :名刺は切らしておりまして:2020/09/25(金) 19:38:05.16 ID:+UjXKQ1s.net

カスペルスキーってマホーポーシャと似てね?

-Rまとめ

Copyright© 【 R速報 】-ニュースまとめサイト- , 2021 All Rights Reserved Powered by STINGER.