JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は9月29日(米国時間)、「攻撃グループLazarusが使用するマルウェアBLINDINGCAN - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、2020年に入ってから発見された新型マルウェア「BLINDINGCAN」に関するレポートを公開した。BLINDINGCANを使った攻撃には北朝鮮のサイバー攻撃集団「Lazarus」(Hidden CobraやAPT38とも呼ばれる)が関与しているとも言われており、今年8月にはアメリカのFBIとCybersecurity and Infrastructure Security Agency(CISA)がセキュリティアラートを発令している。
BLINDINGCANはリモートから命令を実行可能なリモートアクセス型トロイの木馬(RAT)として知られており、感染したコンピュータは、リモートから送信されるコマンドによってさまざまな被害を受けることになる。JPCERT/CCのレポートでは、具体的にどのような手順でコンピュータに侵入し、リモートのサーバと通信を行うのかが詳細に解説されている。BLINDINGCANが使用する設定情報の保存先や、暗号化キーのパターン、確認済みの通信先の情報なども公開されている。
リモートサーバから実行されるコマンドでは、以下のような処理が行えることを確認しているという。
- ファイル一覧の取得
- ファイルの削除、移動、作成時刻の変更、コピー
- プロセス一覧の取得
- プロセスの実行、停止
- ファイルのアップロード、ダウンロード
- ディスク情報の取得
- サービス一覧の取得
- 任意のシェルコマンド実行
Lazarusは企業や政府機関を対象に機密情報を奪取したり、金融機関を相手に金銭をだまし取るったりすることで知られている。ランサムウェアの作成に関与しているという疑いもある。BLINDINGCANによる攻撃に代表されるように、現在も活発に活動を続けているため、企業の情報セキュリティ部門においては警戒と対策が必要だ。