Kaspersky Labは4月12日(米国時間)、「Following the Lazarus group by tracking DeathNote campaign」において、北朝鮮の脅威グループであるLazarusによる長期的なサイバー攻撃のキャンペーンについて、注意を呼び掛けた。「DeathNote」と呼ばれているキャンペーンがツールや戦術を進化させ、標的を広げているという。

Following the Lazarus group by tracking DeathNote campaign

Lazarusは北朝鮮に関連する持続的標的型攻撃(APT: Advanced Persistent Threat)グループ。さまざまなキャンペーンを展開しているとされ、主に暗号資産を狙うことで知られている。DeathNoteキャンペーンは、追加ペイロードのダウンロードを担当するマルウェアの名前がDn.dllまたはDn64.dllであることからその名が付けられている。

最近の調査により、DeathNoteキャンペーンで東欧の防衛産業と関係のある自動車産業および学術分野がターゲットとなったことが明らかとなった。すべてのルアー文書を防衛関連業者や外交サービスに関連する職務記述書に切り替え、武器となる文書にリモートテンプレート注入技術を使用したり、トロイの木馬化したオープンソースのPDFビューアを利用したりするなど、感染経路の改良したことが確認されている。

Infection chain

ネットワーク機器やサーバを監視するソリューションを提供する欧州のITベンダーがDeathNoteキャンペーンにより侵害されたこともわかった。この侵害はLazarusが同社のソフトウェアやそのサプライチェーンに関心を持っていたために行われた攻撃とみられている。そのほか、韓国の標的に対して新たな感染メカニズムを利用しはじめたことやラテンアメリカおよびアフリカの防衛請負業者に対してサイバー攻撃を仕掛け、侵害に成功したことも伝えられている。

Lazarusグループは悪名高く高度な技術を持つ脅威行為者であるとし、そのアプローチに磨きをかけ続けていると結論づけられている。組織に対し警戒を怠らず、DeathNoteのような悪意のある活動から防御するための積極的なセキュリティ対策を講じることが望まれている。