ESETの研究者はこのほど、「Amazon‑themed campaigns of Lazarus in the Netherlands and Belgium|WeLiveSecurity」において、悪名高い持続的標的型攻撃(APT: Advanced Persistent Threat)グループである「Lazarus」が使用した悪意のあるツール一式を発見し、分析したと伝えた。このキャンペーンではAmazonに関わる悪意のある文書を含んだスピアフィッシングメールが使われ、オランダの航空宇宙企業の従業員およびベルギーの政治ジャーナリストが標的となったことが判明している。また、主な目的はデータの窃取とみられている。

  • Amazon‑themed campaigns of Lazarus in the Netherlands and Belgium|WeLiveSecurity

    Amazon‑themed campaigns of Lazarus in the Netherlands and Belgium|WeLiveSecurity

ESETによるこのキャンペーンの主な調査結果は次のとおり。

  • Lazarusによるこのキャンペーンでは、オランダの航空宇宙企業の従業員およびベルギーの政治ジャーナリストが標的となった
  • このキャンペーンで使われたツールでCVE-2021-21551として追跡されている脆弱性が初めて悪用されている。この脆弱性はDell DBUtilドライバに影響し、2021年5月にセキュリティアップデートが提供されている
  • ツールは脆弱性と組み合わせて、侵害されたマシン上のすべてのセキュリティソリューションの監視を無効化する
  • このキャンペーンで「BLINDINGCAN」として知られているHTTP(S)バックドアの使用が確認されている
  • このサイバー攻撃の複雑さからLazarusが体系的に組織され、十分に準備された大規模なチームで構成されていると分析されている

ESETの研究者はこのキャンペーンに対する緩和策として、システムに侵入された後にインストールされるツールセットをブロックするよりも、最初のアクセスの可能性を制限する方が簡単であると説明。機密性の高いネットワークにおいて、従業員が会社のインフラに属するデバイスで個人的な目的を追求しないよう、強く求めることが重要であると助言している。