Cisco Talos Intelligence Groupは9月7日(米国時間)、「Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: MagicRAT: Lazarus’ latest gateway into victim networks」において、「MagicRAT」と呼ばれる新しい遠隔操作ウイルス(RAT: Remote Administration Tool)を発見したと伝えた。米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、北朝鮮に帰属する持続的標的型攻撃(APT: Advanced Persistent Threat)である「Lazarus」の仕業とみている。

  • Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: MagicRAT: Lazarus’ latest gateway into victim networks

    Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: MagicRAT: Lazarus’ latest gateway into victim networks

この新しい遠隔操作ウイルスは、一般に公開されているVMware Horizonプラットフォームを悪用し、最初に侵入された被害者から発見されている。調査によると比較的単純な遠隔操作ウイルスとのことだが、Qtフレームワークを利用して構築されており、人間による分析を困難にし、機械学習やヒューリスティックによる自動検出の可能性を低下させることを目的にしていることがわかった。

MagicRATが感染したシステム上に展開されると、カスタムビルドポートスキャナなどの追加のペイロードを起動することが判明している。さらにMagicRATのコマンド&コントロール(C2: Command and Control)インフラは、TigerRATのような既知のLazarusの新しい亜種をホストするために使用されていることも特定されている。

CiscoのセキュリティチームはLazarusが新たな特注マルウェアを迅速に構築し、TigerRATのような既知のマルウェアとともにMagicRATを使用して世界中の組織を標的にしようとしていると報告している。