AhnLabはこのほど、「Lazarus Group Attack Case Using Vulnerability of Certificate Software Commonly Used by Public Institutions and Universities - ASEC BLOG」において、韓国の公的機関や大学で利用されている証明書ソフトウェアの脆弱性がサイバー攻撃者に悪用されていると伝えた。北朝鮮に関連する持続的標的型攻撃(APT: Advanced Persistent Threat)グループである「Lazarus」(別名「APT28」)が関与しているとみられている。

Lazarus Group Attack Case Using Vulnerability of Certificate Software Commonly Used by Public Institutions and Universities - ASEC BLOG

Lazarusが韓国で一般的に使用されている証明書ソフトウェアのゼロデイ脆弱性を悪用し、同じ韓国企業に2度侵入したことが明らかとなった。このソフトウェアの欠陥はまだ完全に検証されておらず、セキュリティパッチがリリースされていないことから、名称は秘匿されている。

この攻撃では、システムに侵入するために脆弱なドライバーカーネルモジュールを悪用するBring Your Own Vulnerable Driver(BYOVD)手法が用いられていたという。アンチウイルスソフトを無効化するとともに、タイムスタンプの変更や実行アーティファクトの削除などを行って悪意のある行動を隠すアンチフォレンジックを実行していたことも確認されている。

Infiltration flowchart - ASEC BLOG

Lazarusは韓国の公共機関や企業に潜入するためにさまざまなソフトウェアの脆弱性を研究していると分析されている。アンチウイルスソフトの無効化やアンチフォレンジック技術の実行方法を変更することで、検知や分析の妨害や遅延を行い、常に戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を変えてサイバー攻撃を続けていると結論付けられている。