【ITニュース解説】Lazarus Group Expands Malware Arsenal With PondRAT, ThemeForestRAT, and RemotePE
ITニュース概要
北朝鮮関連の攻撃者グループ「ラザルス」が、分散型金融(DeFi)分野の組織を標的に攻撃。人をだます手口で、WindowsやMacなど複数のOSで動く3種類の新型マルウェアを配布し、システムへの侵入を図った。(111文字)
ITニュース解説
北朝鮮との関連が指摘されるサイバー攻撃者集団「Lazarus Group(ラザルス・グループ)」が、新たなマルウェア群を用いて攻撃を行っていることが確認された。彼らは国家の支援を受けているとされ、世界中の金融機関や暗号資産取引所などを標的に、金銭窃取を目的とした高度なサイバー攻撃を仕掛けることで知られている。今回の攻撃では、DeFi(分散型金融)セクターの組織が標的となり、その手口はさらに巧妙化していることが明らかになった。 この攻撃の起点となったのは、「ソーシャルエンジニアリング」と呼ばれる手法である。ソーシャルエンジニアリングとは、システムの技術的な脆弱性を直接攻撃するのではなく、人間の心理的な隙や行動の誤りを利用して機密情報を入手したり、不正な操作を行わせたりする攻撃手法だ。例えば、偽の採用担当者を装って求職者に接触し、信頼関係を築いた上で悪意のあるファイルを含んだ文書を送付したり、正規のサービスを装ったメールで偽のログインページへ誘導したりする手口がこれにあたる。今回の攻撃でも、攻撃者は標的組織の従業員を巧みに騙し、最初の侵入の足がかりを築いた。標的とされたDeFiは、ブロックチェーン技術を基盤とした新しい金融サービスの総称であり、巨額の暗号資産が取引されることから、サイバー攻撃者にとって非常に魅力的な標的となっている。 この攻撃キャンペーンで、Lazarus Groupは「PondRAT」「ThemeForestRAT」「RemotePE」という3種類の新しいマルウェアを使用した。これらのマルウェアは「クロスプラットフォーム」で動作するという特徴を持つ。これは、Windowsだけでなく、macOSやLinuxといった異なるオペレーティングシステム(OS)上でも機能することを意味する。攻撃者にとって、標的とする組織がどのようなOSを使用していても攻撃を成功させられる可能性が高まるため、クロスプラットフォーム対応のマルウェアは非常に強力な武器となる。 「PondRAT」と「ThemeForestRAT」の名称に含まれる「RAT」とは、「Remote Access Trojan(リモートアクセス型トロイの木馬)」の略称である。トロイの木馬は、一見すると無害なプログラムやファイルに見せかけてコンピュータに侵入し、内部で悪意のある活動を行うマルウェアの一種だ。その中でもRATは、感染したコンピュータを攻撃者が遠隔から自由に操作できるようにする機能に特化している。一度RATに感染すると、攻撃者はそのコンピュータ内のファイルを盗み見たり、キーボードで入力された内容(IDやパスワードなど)を記録したり、さらには別のマルウェアを送り込んだりすることが可能になる。つまり、攻撃者は標的のコンピュータを完全に掌握し、内部ネットワークへの侵入を拡大するための拠点として利用することができる。 3つ目の「RemotePE」は、攻撃の柔軟性を高めるための重要なツールである。PEとは「Portable Executable」の略で、Windows環境における実行ファイルの形式を指す。RemotePEは、攻撃者が遠隔からこのPEファイルを標的のコンピュータに送り込み、実行させる機能を持つ。これにより、攻撃者は初期侵入に成功した後、状況に応じて様々な追加の攻撃ツールを展開できる。例えば、より強力な情報窃取ツールや、データを暗号化して身代金を要求するランサムウェアなどを送り込むことが可能になる。攻撃の各段階で必要なツールをその都度送り込むことで、検知を回避しつつ、最終的な目的である金銭窃取を達成するための多段階的な攻撃を実現している。 Lazarus Groupのような高度な攻撃者集団は、常に新しい技術や手法を開発し、防御側の対策をかいくぐろうとする。今回の事例は、彼らが標的とする分野を広げ、より洗練されたツールを用いることで、攻撃の成功率を高めようとしていることを示している。システムエンジニアを目指す者にとって、このような攻撃事例から学ぶべき点は多い。単にファイアウォールやアンチウイルスソフトといった技術的な防御策を講じるだけでなく、攻撃の起点となりうるソーシャルエンジニアリングへの対策、つまり組織内の人間に対するセキュリティ教育の重要性を理解する必要がある。また、万が一侵入された場合に備え、不審な通信や挙動を検知し、迅速に対応するための監視体制や知識も不可欠だ。サイバーセキュリティの脅威は日々進化しており、最新の攻撃手口や防御技術を継続的に学習し続ける姿勢が、これからのITインフラを支える技術者には求められる。